.exe ist keine zulässige win32 anwendung//csrss.exe kann nicht aufgeführt werden / trojanische pferd
 

hallo leute,

ich habe das rojanische pferd TR/Diple.li.82 auf meinem rechner, und habe aus einem anderen forenbeitrag erfahren, das man einen scan mit otl machen soll...

mein avira zeigte mir den trojaner zwar brav an, aber alle bemühungen, ihn mit avira zu entfernen, brachten nix... ebenfalls erfolglos waren spybot und trojan remover...

nun habe ich, wie vorgeschlagen in diesem threat:

http://www.trojaner-board.de/95675-e...rt-werden.html

eine scan mit otl gemacht.
hier ist das logfile:OTL Logfile:
--- --- ---

extra.txtOTL Logfile:
--- --- ---


ich hoffe, ich hab alles richtig gemacht, und mir kann jemand helfen...

lg,
andrea

Log von AntiVir bitte nachreichen.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

hallo,

wie mache ich einen log mit antivir? bei mir geht immer nur diese warnung auf...

lg
andrea

Im Menü unter Berichte/Ereignisse.

hallo,

hier mal das logfile von avira:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 12. Februar 2011 16:54

Es wird nach 2449642 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir Personal - FREE Antivirus
Seriennummer: 0000149996-ADJIE-0000001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ATEG-X16X0UNJ9F

Versionsinformationen:
BUILD.DAT : 8.2.0.354 17048 Bytes 23.10.2009 13:15:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:07:09
ANTIVIR1.VDF : 7.11.0.11 13365104 Bytes 14.12.2010 17:51:45
ANTIVIR2.VDF : 7.11.2.45 2759072 Bytes 01.02.2011 18:19:18
ANTIVIR3.VDF : 7.11.2.59 105472 Bytes 02.02.2011 18:19:19
Engineversion : 8.2.4.158
AEVDF.DLL : 8.1.2.1 106868 Bytes 08.08.2010 10:23:20
AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 31.01.2011 18:10:47
AESCN.DLL : 8.1.7.2 127349 Bytes 23.11.2010 07:52:00
AESBX.DLL : 8.1.3.2 254324 Bytes 23.11.2010 07:52:00
AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 07:50:55
AEPACK.DLL : 8.2.4.9 512374 Bytes 31.01.2011 18:10:44
AEOFFICE.DLL : 8.1.1.16 205179 Bytes 31.01.2011 18:10:40
AEHEUR.DLL : 8.1.2.70 3191159 Bytes 31.01.2011 18:10:38
AEHELP.DLL : 8.1.16.0 246136 Bytes 12.12.2010 11:26:47
AEGEN.DLL : 8.1.5.2 397683 Bytes 26.01.2011 18:01:51
AEEMU.DLL : 8.1.3.0 393589 Bytes 23.11.2010 07:51:56
AECORE.DLL : 8.1.19.2 196983 Bytes 26.01.2011 18:01:50
AEBB.DLL : 8.1.1.0 53618 Bytes 08.05.2010 12:32:26
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.7 159784 Bytes 22.02.2010 18:51:06
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 12. Februar 2011 16:54

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'searchindexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'uphclean.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dyvshe.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MMTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMax4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '46' Prozesse mit '46' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\Dokumente und Einstellungen\killer\Anwendungsdaten\Microsoft\conhost.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Die Registry wurde durchsucht ( '68' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\killer\Anwendungsdaten\dwm.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\killer\Anwendungsdaten\Microsoft\conhost.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\killer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2\295a0c2-59a05b8a
[0] Archivtyp: ZIP
--> bpac/purok.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.AI
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\killer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21\65043095-757d0e8a
[0] Archivtyp: ZIP
--> bpac/purok.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.AI
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\killer\Eigene Dateien\3143.exe
[0] Archivtyp: 7-Zip SFX (self extracting)
--> ShrinkTo5Setup.res
[1] Archivtyp: 7-Zip
--> VVSNInst.exe
[2] Archivtyp: RSRC
--> Object
[3] Archivtyp: CAB (Microsoft)
--> VVSN.exe
[FUND] Enthält Erkennungsmuster des ADWARE/WhenU.D-Virus
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\killer\Eigene Dateien\TomTom\HOME\Download\temp\e394412185890effcf6c4875ec51330c.tmp
[0] Archivtyp: CAB (Microsoft)
--> \LicenseCode7.txt
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\killer\Eigene Dateien\Usenet.nl\alt.binaries.highspeed\Die Wanderhure.part48.rar
[0] Archivtyp: RAR
--> die_wanderhure_bild_1.jpg
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\killer\Lokale Einstellungen\Anwendungsdaten\khebxbi.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\killer\Lokale Einstellungen\Temp\5D.tmp
[FUND] Ist das Trojanische Pferd TR/Spyeye.R
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Samstag, 12. Februar 2011 17:54
Benötigte Zeit: 1:00:01 Stunde(n)

Der Suchlauf wurde abgebrochen!

1711 Verzeichnisse wurden überprüft
47407 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
4 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
47398 Dateien ohne Befall
521 Archive wurden durchsucht
7 Warnungen
4 Hinweise

malwarebytes logfile folgt, ich mach es gerade...

lg

andrea

Wasndas? :wtf:

das war das logfile von avira antivir.... :-) hab ich was falsch gemacht??

hier ist das logfile von malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5773

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.02.2011 18:47:31
mbam-log-2011-02-16 (18-47-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 198888
Laufzeit: 26 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\syscheckrt (Trojan.SpyEyes) -> No action taken.

Infizierte Dateien:
c:\syscheckrt\syscheckrt.exe.vir (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{40220486-54fe-4dfa-933b-19254119535c}\RP2\A0000142.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{40220486-54fe-4dfa-933b-19254119535c}\RP2\A0000280.exe (Spyware.Passwords.XGen) -> No action taken.
c:\syscheckrt\config.bin (Trojan.SpyEyes) -> No action taken.

Nein! Ich mein die Datei in meinem Zitat! => C:\Dokumente und Einstellungen\killer\Eigene Dateien\3143.exe

Was ist das!?

wenn ich das mal wüsste...
ich hab keine ahnung...
lg
andrea

Ok kann man nichts machen. Hast du alle Funde mit Malwarebytes entfernt?

morgen,

ja, hab ich...
kann man nix machen heisst??
festplatte formatieren??
kannst du mir denn sagen, wie man eine bootcd macht, damit nicht alles weg ist.. :-(

lieben gruss
andrea

das ist das logfile von heute morgen..


Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5773

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.02.2011 09:28:05
mbam-log-2011-02-17 (09-28-05).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 198905
Laufzeit: 30 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\syscheckrt (Trojan.SpyEyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\syscheckrt\syscheckrt.exe.vir (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40220486-54fe-4dfa-933b-19254119535c}\RP2\A0000142.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40220486-54fe-4dfa-933b-19254119535c}\RP2\A0000280.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\syscheckrt\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully.

Das kann man nichts machen bezog sich darauf, dass du nicht wusstest, was das für eine Datei ist, bei der ich nachfragte!! Drücke ich mich so unglücklich aus, dass du mich immer falsch verstehst? :balla:

POste bitte frische OTL-Logs:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

hallo arne,

nein, tust du nicht... ;-)
vielleicht bin ich ja auch ein bischen schwer von begriff....:-)
oder blond, wobei?? nee, eher dunkel :zunge:

posten tu ich heut abend..
lg
andrea

nabend,

so, hier otl-logfile:

erst mal otl-txt:OTL Logfile:
--- --- ---

extra-txt:OTL Logfile:
--- --- ---

nabend,

so, hier otl-logfile:

erst mal otl-txt:OTL Logfile:
--- --- ---


extra-txt:OTL Logfile:
--- --- ---

uuups, 2x wollt ich nicht... sooooorryyy...

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

All processes killed
========== OTL ==========
Prefs.js: "127.0.0.1" removed from network.proxy.http
Prefs.js: 62848 removed from network.proxy.http_port
Prefs.js: 4 removed from network.proxy.type
HKU\S-1-5-21-1004336348-1844823847-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-21-1004336348-1844823847-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\AutoRun not found.
Registry value HKEY_USERS\S-1-5-21-1004336348-1844823847-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\\fsm not found.
Registry value HKEY_USERS\S-1-5-21-1004336348-1844823847-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\\SIDEBAR not found.
Registry value HKEY_USERS\S-1-5-21-1004336348-1844823847-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\\Spiele Post not found.
Registry value HKEY_USERS\S-1-5-21-1004336348-1844823847-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\\TomTomHOME.exe not found.
File C:\Dokumente und Einstellungen\killer\Lokale Einstellungen\Anwendungsdaten\dyvshe_navps.dat.vir not found.
File C:\Dokumente und Einstellungen\killer\Lokale Einstellungen\Anwendungsdaten\dyvshe.dat.vir not found.
File C:\Dokumente und Einstellungen\killer\Anwendungsdaten\3EAA.F4E not found.
File C:\Dokumente und Einstellungen\killer\Lokale Einstellungen\Anwendungsdaten\dyvshe_nav.dat.vir not found.
File C:\Dokumente und Einstellungen\All Users\Dokumente\000018B3.LCS not found.
File C:\Dokumente und Einstellungen\killer\Anwendungsdaten\3EAA.F4E not found.
File C:\Dokumente und Einstellungen\killer\Anwendungsdaten\seed.log not found.
File C:\Dokumente und Einstellungen\killer\Lokale Einstellungen\Anwendungsdaten\dyvshe.exe.vir not found.
File C:\Dokumente und Einstellungen\killer\Lokale Einstellungen\Anwendungsdaten\dyvshe_nav.dat.vir not found.
File C:\Dokumente und Einstellungen\killer\Lokale Einstellungen\Anwendungsdaten\dyvshe_navps.dat.vir not found.
File C:\Dokumente und Einstellungen\killer\Lokale Einstellungen\Anwendungsdaten\dyvshe.dat.vir not found.
Unable to delete ADS C:\WINDOWS:FCC673234EA54738 .
Unable to delete ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C22674B6 .
Unable to delete ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CB0AACC9 .
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: killer
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 3383369 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 105724 bytes

Total Files Cleaned = 3,00 mb


OTL by OldTimer - Version 3.2.20.6 log created on 02172011_200340

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

soooo, klappt nicht...

wenn ich cofi.exe starte, geht ein blaues fenster auf, in dem die meldung steht:

der befehl "nircmd" ist entweder falsch geschrieben oder konnte nicht gefunden werden.
der befehl "sed" ist endweder falsch geschrieben oder konnte nicht gefunden werden.

was hab ich falsch gemacht?

lg
andrea

Lad CF bitte neu als cofi.exe runter und probiers nochmal.
Wenn es immer noch nicht geht, erstmal dieses Tool von kaspersky ausführen => http://www.trojaner-board.de/82358-t...entfernen.html

nix gefunden..

hier der report:

2011/02/17 21:28:16.0125 1236 TDSS rootkit removing tool 2.4.17.0 Feb 10 2011 11:07:20
2011/02/17 21:28:16.0468 1236 ================================================================================
2011/02/17 21:28:16.0468 1236 SystemInfo:
2011/02/17 21:28:16.0468 1236
2011/02/17 21:28:16.0468 1236 OS Version: 5.1.2600 ServicePack: 3.0
2011/02/17 21:28:16.0468 1236 Product type: Workstation
2011/02/17 21:28:16.0468 1236 ComputerName: ATEG-X16X0UNJ9F
2011/02/17 21:28:16.0468 1236 UserName: killer
2011/02/17 21:28:16.0468 1236 Windows directory: C:\WINDOWS
2011/02/17 21:28:16.0468 1236 System windows directory: C:\WINDOWS
2011/02/17 21:28:16.0468 1236 Processor architecture: Intel x86
2011/02/17 21:28:16.0468 1236 Number of processors: 2
2011/02/17 21:28:16.0468 1236 Page size: 0x1000
2011/02/17 21:28:16.0468 1236 Boot type: Normal boot
2011/02/17 21:28:16.0468 1236 ================================================================================
2011/02/17 21:28:16.0609 1236 Initialize success
2011/02/17 21:28:21.0281 2264 ================================================================================
2011/02/17 21:28:21.0281 2264 Scan started
2011/02/17 21:28:21.0281 2264 Mode: Manual;
2011/02/17 21:28:21.0281 2264 ================================================================================
2011/02/17 21:28:22.0578 2264 acedrv11 (e6f53d6c0dea3d375362265e175ca638) C:\WINDOWS\system32\drivers\acedrv11.sys
2011/02/17 21:28:22.0625 2264 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/02/17 21:28:22.0656 2264 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/02/17 21:28:22.0703 2264 ADIDTSFiltService (175b51ddf26e9d06722beec50ac15a9a) C:\WINDOWS\system32\drivers\adidts.sys
2011/02/17 21:28:22.0750 2264 ADIHdAudAddService (ab0d9669bab1009e48cc91117e59912b) C:\WINDOWS\system32\drivers\ADIHdAud.sys
2011/02/17 21:28:22.0781 2264 AEAudio (03be587e90c8b37c7ff1fe2e9c1d1c90) C:\WINDOWS\system32\drivers\AEAudio.sys
2011/02/17 21:28:22.0796 2264 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/02/17 21:28:22.0859 2264 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/02/17 21:28:22.0937 2264 Alpham1 (acd2f2df292b6cc28f58095bba63a068) C:\WINDOWS\system32\DRIVERS\Alpham1.sys
2011/02/17 21:28:22.0968 2264 Alpham2 (f4fafb2e74b83a156408b1b02302799e) C:\WINDOWS\system32\DRIVERS\Alpham2.sys
2011/02/17 21:28:23.0031 2264 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/02/17 21:28:23.0109 2264 ASPI32 (b979979ab8027f7f53fb16ec4229b7db) C:\WINDOWS\system32\drivers\ASPI32.sys
2011/02/17 21:28:23.0140 2264 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/02/17 21:28:23.0140 2264 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/02/17 21:28:23.0171 2264 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/02/17 21:28:23.0218 2264 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/02/17 21:28:23.0328 2264 avgio (87828ecd657f81503465ac705e845076) C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys
2011/02/17 21:28:23.0375 2264 avgntflt (fcb30820bed1d3feb55e3dd55a3f947f) C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
2011/02/17 21:28:23.0390 2264 avipbb (0b09df022250fb7ba91fb932eac6ea9b) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/02/17 21:28:23.0437 2264 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/02/17 21:28:23.0468 2264 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/02/17 21:28:23.0515 2264 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/02/17 21:28:23.0531 2264 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/02/17 21:28:23.0562 2264 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/02/17 21:28:23.0656 2264 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/02/17 21:28:23.0703 2264 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/02/17 21:28:23.0734 2264 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/02/17 21:28:23.0765 2264 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/02/17 21:28:23.0796 2264 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/02/17 21:28:23.0859 2264 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/02/17 21:28:23.0921 2264 ElbyCDIO (37c3a9fef349d13685ec9c2acaaeafce) C:\WINDOWS\system32\Drivers\ElbyCDIO.sys
2011/02/17 21:28:23.0968 2264 ElbyDelay (8d35affbeed58fd66e9fad223de33718) C:\WINDOWS\system32\Drivers\ElbyDelay.sys
2011/02/17 21:28:24.0000 2264 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/02/17 21:28:24.0015 2264 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/02/17 21:28:24.0062 2264 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/02/17 21:28:24.0078 2264 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/02/17 21:28:24.0093 2264 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/02/17 21:28:24.0109 2264 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/02/17 21:28:24.0125 2264 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/02/17 21:28:24.0171 2264 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
2011/02/17 21:28:24.0218 2264 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/02/17 21:28:24.0234 2264 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/02/17 21:28:24.0250 2264 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/02/17 21:28:24.0328 2264 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/02/17 21:28:24.0359 2264 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/02/17 21:28:24.0390 2264 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/02/17 21:28:24.0453 2264 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/02/17 21:28:24.0484 2264 ip6fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/02/17 21:28:24.0500 2264 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/02/17 21:28:24.0531 2264 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/02/17 21:28:24.0562 2264 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/02/17 21:28:24.0593 2264 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/02/17 21:28:24.0609 2264 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/02/17 21:28:24.0625 2264 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/02/17 21:28:24.0656 2264 JGOGO (c995c0e8b4503fac38793bb0236ad246) C:\WINDOWS\system32\DRIVERS\JGOGO.sys
2011/02/17 21:28:24.0687 2264 JRAID (f561c67e8e9c598051d4f83296fd1201) C:\WINDOWS\system32\DRIVERS\jraid.sys
2011/02/17 21:28:24.0703 2264 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/02/17 21:28:24.0718 2264 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/02/17 21:28:24.0734 2264 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/02/17 21:28:24.0765 2264 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/02/17 21:28:24.0812 2264 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/02/17 21:28:24.0828 2264 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/02/17 21:28:24.0859 2264 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/02/17 21:28:24.0890 2264 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/02/17 21:28:24.0906 2264 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/02/17 21:28:24.0937 2264 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/02/17 21:28:25.0000 2264 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/02/17 21:28:25.0015 2264 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/02/17 21:28:25.0046 2264 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/02/17 21:28:25.0062 2264 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/02/17 21:28:25.0093 2264 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/02/17 21:28:25.0125 2264 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/02/17 21:28:25.0171 2264 MTsensor (d48659bb24c48345d926ecb45c1ebdf5) C:\WINDOWS\system32\DRIVERS\ASACPI.sys
2011/02/17 21:28:25.0203 2264 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/02/17 21:28:25.0218 2264 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/02/17 21:28:25.0218 2264 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/02/17 21:28:25.0250 2264 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/02/17 21:28:25.0296 2264 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/02/17 21:28:25.0343 2264 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/02/17 21:28:25.0359 2264 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/02/17 21:28:25.0375 2264 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/02/17 21:28:25.0421 2264 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/02/17 21:28:25.0421 2264 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/02/17 21:28:25.0468 2264 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/02/17 21:28:25.0500 2264 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/02/17 21:28:25.0718 2264 nv (83780f3a86d2804912f22f6e37cd2254) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/02/17 21:28:25.0890 2264 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/02/17 21:28:25.0906 2264 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/02/17 21:28:25.0937 2264 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/02/17 21:28:25.0953 2264 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys
2011/02/17 21:28:25.0984 2264 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/02/17 21:28:26.0015 2264 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/02/17 21:28:26.0046 2264 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/02/17 21:28:26.0093 2264 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/02/17 21:28:26.0125 2264 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/02/17 21:28:26.0250 2264 PnkBstrK (0dae0d8dedaea73238a40511c6958e95) C:\WINDOWS\system32\drivers\PnkBstrK.sys
2011/02/17 21:28:26.0296 2264 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/02/17 21:28:26.0312 2264 Processor (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
2011/02/17 21:28:26.0328 2264 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/02/17 21:28:26.0375 2264 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/02/17 21:28:26.0406 2264 PxHelp20 (d86b4a68565e444d76457f14172c875a) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/02/17 21:28:26.0484 2264 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/02/17 21:28:26.0500 2264 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/02/17 21:28:26.0515 2264 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/02/17 21:28:26.0531 2264 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/02/17 21:28:26.0562 2264 Razerlow (116c340acf37602d12cac6de6b8107cd) C:\WINDOWS\system32\Drivers\Razerlow.sys
2011/02/17 21:28:26.0593 2264 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/02/17 21:28:26.0609 2264 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/02/17 21:28:26.0640 2264 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/02/17 21:28:26.0671 2264 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/02/17 21:28:26.0703 2264 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/02/17 21:28:26.0750 2264 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/02/17 21:28:26.0781 2264 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/02/17 21:28:26.0796 2264 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/02/17 21:28:26.0828 2264 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/02/17 21:28:26.0890 2264 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/02/17 21:28:26.0937 2264 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/02/17 21:28:27.0000 2264 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/02/17 21:28:27.0046 2264 ssmdrv (71d609c5dff067906d930bde031c4cfe) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/02/17 21:28:27.0062 2264 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/02/17 21:28:27.0109 2264 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/02/17 21:28:27.0203 2264 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/02/17 21:28:27.0250 2264 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/02/17 21:28:27.0296 2264 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/02/17 21:28:27.0312 2264 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/02/17 21:28:27.0343 2264 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/02/17 21:28:27.0375 2264 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/02/17 21:28:27.0421 2264 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/02/17 21:28:27.0468 2264 USBAAPL (1df89c499bf45d878b87ebd4421d462d) C:\WINDOWS\system32\Drivers\usbaapl.sys
2011/02/17 21:28:27.0515 2264 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/02/17 21:28:27.0546 2264 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/02/17 21:28:27.0562 2264 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/02/17 21:28:27.0609 2264 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/02/17 21:28:27.0625 2264 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/02/17 21:28:27.0640 2264 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/02/17 21:28:27.0703 2264 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/02/17 21:28:27.0718 2264 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/02/17 21:28:27.0750 2264 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/02/17 21:28:27.0812 2264 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/02/17 21:28:27.0828 2264 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/02/17 21:28:27.0906 2264 yukonwxp (228d0403f0210d6d67a9acf907597efe) C:\WINDOWS\system32\DRIVERS\yk51x86.sys
2011/02/17 21:28:28.0093 2264 ================================================================================
2011/02/17 21:28:28.0093 2264 Scan finished
2011/02/17 21:28:28.0093 2264 ================================================================================

wenn ich cofi.exe. starte, kommt auch nur so ein kleiner ladebalken, und dann sofort dieses blaue feld... als ich es ein zweites mal gemacht hab, war die oben genannte meldung weg, und da stand gar nix mehr...

ich versuchs aber jetzt nochmal...

klappt nicht...

also, ich geh mit rechtsklick auf deine verlinkung
ziel speichern unter desktop
umbenennen in cofi.exe.
browser u avira geschlossen
ausführen
und dann:
kleiner balken
blaues leeres feld...

ich heul gleich

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur einige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

guten morgen,

so, hier erst mal das osam logfile:

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru




und der mbr-check:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001d

Kernel Drivers (total 121):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E6000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA0B8000 ohci1394.sys
0xBA0C8000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xBA0D8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA5AC000 dmload.sys
0xB9F22000 dmio.sys
0xBA330000 PartMgr.sys
0xBA0E8000 VolSnap.sys
0xB9F0A000 atapi.sys
0xBA0F8000 jraid.sys
0xB9EF2000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
0xBA108000 disk.sys
0xBA118000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xB9ED2000 fltmgr.sys
0xB9EC0000 sr.sys
0xBA128000 PxHelp20.sys
0xB9EA9000 KSecDD.sys
0xB9E1C000 Ntfs.sys
0xB9DEF000 NDIS.sys
0xB9DD5000 Mup.sys
0xBA5AE000 JGOGO.sys
0xB9B31000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xB901A000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB9006000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xBA3D0000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xB8FE2000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xBA3D8000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB8FBA000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xBA762000 \SystemRoot\System32\Drivers\ElbyDelay.sys
0xB9B21000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xBA3E0000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xB8F7E000 \SystemRoot\system32\DRIVERS\yk51x86.sys
0xB9B11000 \SystemRoot\System32\DRIVERS\nic1394.sys
0xB9B01000 \SystemRoot\System32\DRIVERS\serial.sys
0xBA564000 \SystemRoot\System32\DRIVERS\serenum.sys
0xBA3E8000 \SystemRoot\System32\DRIVERS\fdc.sys
0xBA5D8000 \SystemRoot\system32\DRIVERS\ASACPI.sys
0xB9AF1000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xBA3F0000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xBA3F8000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xBA763000 \SystemRoot\System32\DRIVERS\audstub.sys
0xB9AE1000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xBA568000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xB8F67000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xB9AD1000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xB9AC1000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xBA400000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xB8F56000 \SystemRoot\System32\DRIVERS\psched.sys
0xB9AB1000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xBA408000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xBA410000 \SystemRoot\System32\DRIVERS\raspti.sys
0xB8F26000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xB9684000 \SystemRoot\System32\DRIVERS\termdd.sys
0xBA5DA000 \SystemRoot\System32\DRIVERS\swenum.sys
0xB8EDB000 \SystemRoot\System32\DRIVERS\ks.sys
0xB8E7D000 \SystemRoot\System32\DRIVERS\update.sys
0xBA584000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xB9674000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB9664000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xBA5DE000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xB6CD7000 \SystemRoot\system32\drivers\ADIHdAud.sys
0xB6CB3000 \SystemRoot\system32\drivers\portcls.sys
0xB9654000 \SystemRoot\system32\drivers\drmk.sys
0xB6C9C000 \SystemRoot\system32\drivers\AEAudio.sys
0xB6C79000 \SystemRoot\system32\drivers\adidts.sys
0xBA420000 \SystemRoot\System32\DRIVERS\flpydisk.sys
0xBA5E2000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA7F6000 \SystemRoot\System32\Drivers\Null.SYS
0xBA5E4000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA430000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xBA438000 \SystemRoot\System32\drivers\vga.sys
0xBA5E6000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA5E8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA440000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA448000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB9D8D000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xB6C46000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xB6BED000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xB6B9D000 \SystemRoot\System32\DRIVERS\netbt.sys
0xB6B77000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xB9634000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xB6B55000 \SystemRoot\System32\drivers\afd.sys
0xB9624000 \SystemRoot\System32\DRIVERS\netbios.sys
0xB9604000 \SystemRoot\System32\DRIVERS\arp1394.sys
0xBA450000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB6B2A000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xB6ABA000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xBA1A8000 \SystemRoot\System32\Drivers\Fips.SYS
0xB6AA9000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA5EC000 \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys
0xBA558000 \SystemRoot\System32\Drivers\ASPI32.SYS
0xBA1D8000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB6A69000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA5F0000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB8F02000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA460000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA6BA000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBF5DA000 \SystemRoot\System32\ATMFD.DLL
0xB6704000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xB6483000 \SystemRoot\system32\drivers\wdmaud.sys
0xB65E0000 \SystemRoot\system32\drivers\sysaudio.sys
0xB57CE000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xB577A000 \??\C:\WINDOWS\system32\drivers\acedrv11.sys
0xB583F000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0xB5632000 \SystemRoot\System32\DRIVERS\srv.sys
0xB572A000 \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
0xB50FE000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 42):
0 System Idle Process
4 System
608 C:\WINDOWS\system32\smss.exe
664 csrss.exe
688 C:\WINDOWS\system32\winlogon.exe
732 C:\WINDOWS\system32\services.exe
744 C:\WINDOWS\system32\lsass.exe
924 C:\WINDOWS\system32\svchost.exe
992 svchost.exe
1088 C:\WINDOWS\system32\svchost.exe
1188 svchost.exe
1252 svchost.exe
1448 C:\WINDOWS\system32\spoolsv.exe
1716 C:\WINDOWS\explorer.exe
1948 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1960 C:\Programme\Analog Devices\Core\smax4pnp.exe
1968 C:\Programme\Analog Devices\SoundMAX\SMax4.exe
2000 C:\WINDOWS\system32\rundll32.exe
2024 C:\WINDOWS\system32\MMTray.exe
116 C:\Programme\iTunes\iTunesHelper.exe
168 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
256 C:\WINDOWS\system32\ctfmon.exe
304 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
336 C:\Programme\Windows Desktop Search\WindowsSearch.exe
1868 svchost.exe
1920 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
880 C:\Programme\Java\jre6\bin\jqs.exe
564 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
708 C:\WINDOWS\system32\nvsvc32.exe
748 C:\WINDOWS\system32\PnkBstrA.exe
1132 C:\WINDOWS\system32\PnkBstrB.exe
1200 C:\Programme\UPHClean\uphclean.exe
1516 C:\WINDOWS\system32\searchindexer.exe
2272 C:\WINDOWS\system32\wscntfy.exe
2512 C:\Programme\iPod\bin\iPodService.exe
2596 C:\WINDOWS\system32\wbem\wmiapsrv.exe
3176 alg.exe
1620 C:\Programme\Mozilla Firefox\firefox.exe
712 C:\WINDOWS\system32\searchprotocolhost.exe
2676 C:\Dokumente und Einstellungen\killer\Eigene Dateien\Downloads\osam.exe
2864 searchfilterhost.exe
2500 C:\Dokumente und Einstellungen\killer\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD160JJ, Rev: ZM100-33

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

GMER wollte nicht?

hallo arne,

sorry, ich hab gepennt...
mach ich heute abend, und poste den report...

gruss,
andrea

hallo arne,

hier mein log von gmer:
GMER Logfile:
--- --- ---

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5802

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18.02.2011 19:47:38
mbam-log-2011-02-18 (19-47-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 197469
Laufzeit: 18 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


moment noch, der zweite scan läuft

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 02/18/2011 at 08:28 PM

Application Version : 4.48.1000

Core Rules Database Version : 6203
Trace Rules Database Version: 4015

Scan type : Complete Scan
Total Scan Time : 00:33:24

Memory items scanned : 508
Memory threats detected : 0
Registry items scanned : 7619
Registry threats detected : 0
File items scanned : 54928
File threats detected : 2

Adware.Tracking Cookie
aka-cdn-ns.adtech.de [ C:\Dokumente und Einstellungen\killer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\QQN82TPG ]
counter.cam-content.com [ C:\Dokumente und Einstellungen\killer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\QQN82TPG ]


so, das wars...
hoffe, das alles ok ist jetzt...

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

nein, alles in ordnung...
rechner is wieder flott, keine meldungen mehr...
vorsichtig gesagt, alles prima :-)

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

alles klar, das werd ich machen!!

vielen vielen dank!! du warst super!!

schönes wochenende
gruss
andrea