Computerhilfen.de: Win XP: Schäden nach Trojanerbefall!

Vor einigen Tagen hatten ich massive Probleme mit Trojanerbefall. Diese konnte ich mit Hilfe eines sehr lieben Mitglieds hier auch erfolgreich entfernen. Aber es bleiben noch einige Probleme die ich einfach nicht in den Griff bekommen.
Mein Bild, der Desktop (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) bleibt nach wie vor mit einem blauen Hintergrund und in der Mitte bleibt eine Warnung.

" Warning!
Spyware detected on yuor Computer!
Install an antvirus or spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html) remover to clean your Computer!

Außerdem dauert es beim Hochfahren des PC`s immer einige Sekunden bis das Windowszeichen richtig scharf zu sehen ist.
Der PC arbeite eigentlich jetzt wieder einwandfrei, nur wenn ich mal einige Zeit nichts daran arbeite, erscheint plötzlich ein blauer Bildschirm mit weißer Schrift.
Dieses Meldung steht dann dort:
A problem has been detected and windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) has been shut down to prevent damage youre computer. (http://www.computerhilfen.de/fachbegriffe-c-Computer.html)
PAGE_FAULT_IN_MONPAGED_AREA     (<- Dieser Name ändert sich jedes mal, wenn der Pc wieder hochfährt und die Fehlermeldung zeigt.)
If this is the first time you´ve seen this stop error screen (http://www.computerhilfen.de/fachbegriffe-s-Screen.html) restart your computer. (http://www.computerhilfen.de/fachbegriffe-c-Computer.html)
If this screens appears again, follow this steps:
Check to make s..... that any hardware (http://www.computerhilfen.de/fachbegriffe-h-Hardware.html) or Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) is properly installed.
If this is a new installation, ask your hardware (http://www.computerhilfen.de/fachbegriffe-h-Hardware.html) or software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) manufacturer, for any windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) updates you might need.
If problems continue, disable or remove any newly installed hardware (http://www.computerhilfen.de/fachbegriffe-h-Hardware.html) or software. (http://www.computerhilfen.de/fachbegriffe-s-Software.html)
Disable BIOS (http://www.computerhilfen.de/fachbegriffe-b-BIOS.html) memory optio such as catching or shadowing.
If you need use safe mode to remove or disable components, restart your computer, (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) press F8 to select Advanced  startup options, and then select safe mode.
Technical Informatio:
***STOP: 0x00000050 (0x00000000, 0xBAf       ( <- mehr konnte ich nicht abeschrieben… auch die technischen Informationen ändern sich bei jedem mal, wenn der PC hochfährt!)
Zu allem Übel kann ich auch kein Englisch ???


Diese Meldung bleibt ca 1 Minute, dann fährt der PC von allein runter und sofort wieder hoch bis wieder diese Meldung kommt. Das geht dann solange bis ich auf Reset drücke, dann fährt er wieder normal hoch.
Kann mir jemand helfen? Ich weiß nicht mehr weiter. Bin ein Laie am Pc.

Die Antwort haste schon in deinem letzten Thread von specialagent:
Formartieren und das System neu aufsetzen.
Ein infizierter Rechner ist niemaqls wieder als sicher anzusehen.
Gruß
Holger

Siehts so aus??

dann lade dir mal denn cccleaner und wichtig ist  datfind.bad  und poste des log davon http://virus-protect.org/datfindbat.html

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B811-F27D

Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) von c:\

13.08.2008  12:34                 0 dirdat.txt
13.08.2008  11:31     1.610.612.736 pagefile.sys


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B811-F27D

Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) von C:\WINDOWS\system32

11.08.2008  20:57            60.928 blphcp8qj0e32t.scr
11.08.2008  20:56            90.838 phcp8qj0e32t.bmp
11.08.2008  15:48           314.644 perfh009.dat
11.08.2008  15:48            40.972 perfc009.dat
11.08.2008  15:48           345.246 perfh007.dat
11.08.2008  15:48            59.170 perfc007.dat
11.08.2008  15:48           768.086 PerfStringBackup.INI
10.08.2008  11:45           163.353 nvapps.xml
09.08.2008  12:14            13.646 wpa.dbl
06.08.2008  08:01                27 MPFServiceFailureCount.txt
29.07.2008  10:49             8.192 uiwbnp.dll
28.07.2008  13:35           355.584 TuneUpDefragService.exe
11.07.2008  23:12                 0 42pv3UYd.exe.a_a
11.07.2008  21:11                 0 OTn1GqBV.exe.a_a
25.06.2008  18:15        17.972.344 MRT.exe
20.06.2008  19:39           247.296 mswsock.dll
20.06.2008  19:39           148.992 dnsapi.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B811-F27D

Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) von C:\WINDOWS

13.08.2008  11:33         2.035.941 WindowsUpdate.log
13.08.2008  11:32               785 win.ini
13.08.2008  11:32               159 wiadebug.log
13.08.2008  11:32                50 wiaservc.log
13.08.2008  11:31             2.048 bootstat.dat
13.08.2008  11:30            32.548 SchedLgU.Txt
11.08.2008  21:01                 0 [INI]
15.06.2008  19:00               181 EnvironmentsDlg.ini
15.06.2008  19:00               181 LuminancesDlg.ini
15.06.2008  19:00               171 MaterialsDlg.ini
15.06.2008  18:45             1.032 _profsect_0001.tmp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B811-F27D

Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) von C:\DOKUME~1\home\LOKALE~1\Temp

13.08.2008  12:30                 0 etilqs_d1HUhJlFcJHnGz8YeslU
13.08.2008  11:37            30.271 jusched.log
13.08.2008  02:15                17 stadistic.log
13.08.2008  02:06            28.169 PSSysChk.log
13.08.2008  00:02            21.840 java_install_reg.log
12.08.2008  20:18            16.384 Perflib_Perfdata_498.dat
12.08.2008  19:58            16.384 Perflib_Perfdata_98c.dat
12.08.2008  18:33            12.304 etilqs_cYT5noD6AgZAc0S2Bm3B
12.08.2008  13:10            16.384 Perflib_Perfdata_f04.dat
12.08.2008  11:53            12.304 etilqs_uW9bzFGGXKHsEyyUXXzE
12.08.2008  10:28            16.384 Perflib_Perfdata_99c.dat
12.08.2008  09:07            32.800 etilqs_oPhgJZAbn8bvcfEa8fuX
11.08.2008  21:37                 0 .tt4B.tmp
11.08.2008  21:18            31.181 ppsrindex.dat.972.2.ppu
11.08.2008  21:18           525.066 ppclean.exe.972.2.ppu
11.08.2008  21:17                 0 .tt47.tmp
11.08.2008  21:03            12.304 etilqs_j1W4EmUgW6bSKj9U2R0Q
11.08.2008  21:01                 0 uis39.tmp
11.08.2008  21:01                 0 uis38.tmp
11.08.2008  21:01                 0 uis37.tmp
11.08.2008  21:01                 0 uis36.tmp
11.08.2008  21:00                 0 uis35.tmp
11.08.2008  20:57                 0 .tt29.tmp
11.08.2008  20:56                 0 .tt25.tmp
11.08.2008  20:53            33.049 Uninstall Log 2008-08-11 #001.txt
11.08.2008  20:48            49.152 ~DF4F8E.tmp
11.08.2008  20:48                 0 .tt26.tmp
11.08.2008  20:38                 0 .tt22.tmp
11.08.2008  20:14            65.536 ~DF5611.tmp
11.08.2008  20:05                 0 .tt23.tmp
11.08.2008  20:05                 0 .tt20.tmp
11.08.2008  19:54                 0 .tt2D.tmp
11.08.2008  19:46            32.768 ~DF1B4.tmp
11.08.2008  19:45            28.700 etilqs_Tp2xXjv205NfeMvVefUB
11.08.2008  19:33                 0 .tt21.tmp
11.08.2008  19:33                 0 .tt1E.tmp
11.08.2008  19:22                 0 .tt1F.tmp
11.08.2008  19:20                 0 .tt2.tmp
11.08.2008  16:18                 0 .ttA4.tmp
11.08.2008  15:58                 0 .tt9E.tmp
11.08.2008  15:54            82.427 Setup Log 2008-08-11 #001.txt
11.08.2008  15:38                 0 .tt99.tmp
11.08.2008  15:12                 0 .tt96.tmp
11.08.2008  14:52                 0 .tt86.tmp
11.08.2008  14:32                 0 .tt83.tmp
11.08.2008  14:06                 0 .tt6A.tmp
11.08.2008  13:24                 0 .tt67.tmp
11.08.2008  12:38           129.181 devmgmt.chw
10.08.2008  14:49            12.304 etilqs_bOCE1W0JlmX04FOt21Kb
09.08.2008  18:02            16.384 ~DFF20A.tmp
09.08.2008  17:38         2.048.000 Acr26B.tmp
09.08.2008  17:36               185 250.bat
09.08.2008  17:36         2.048.000 Acr247.tmp
09.08.2008  15:16            41.218 IUJ31540Swap.tmp
09.08.2008  15:16            29.839 IUJ31537Swap.tmp
09.08.2008  15:16            26.845 IUJ31534Swap.tmp
09.08.2008  15:12           167.926 IUJ_31284.tmp
09.08.2008  15:12           126.366 IUJ_31283.tmp
08.08.2008  12:34            39.461 jar_cache28349.tmp
08.08.2008  12:33            39.461 jar_cache28336.tmp
07.08.2008  19:08             3.100 redirect.html
07.08.2008  18:37         2.048.000 Acr193.tmp
07.08.2008  17:55            12.818 control.xml
07.08.2008  17:17         2.048.000 Acr171.tmp
07.08.2008  16:55            16.384 ~DFF1F0.tmp
05.06.2008  09:09            25.753 German.bin

Das sind die Daten aus dem DatFind.bad ich sollte die lezten 3 Monate in diesen Threat kopieren.
Bin mir aber nich sicher, ob das jetzt das richtige war.
Mein Bildschirm sieht genauso aus wie du ihn oben dargestellt hast.

LG Devil-Su

C:\WINDOWS\system32

blphcp8qj0e32t.scr

phcp8qj0e32t.bmp

löschen

ich such mal weiter

Gut die hab ich schon gelöscht. Der Bildschirm ist nun noch blau aber die Fehlermeldung in der Mitte ist weg.

LG Devil-su 

Lass Malwarebytes drüber laufen und lasse alle Funde löschen, poste den Report dann hier.

Außerdem erstelle ein Logfile mit Hijackthis (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html) und poste dieses hier.

Hallo,
vielen Dank für deinen Tipp, ich habe es drüber laufen lassen, hier das Ergebnis.

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1049
Windows 5.1.2600 Service Pack 2

09:48:59 14.08.2008
mbam-log-8-14-2008 (09-48-59).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 144212
Laufzeit: 53 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 24
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\altcompare (Dialer) (http://www.computerhilfen.de/fachbegriffe-d-Dialer.html) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhct8qj0e32t (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\msvcl1.bhoapp (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\msvcl1.bhoapp.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\google.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\altcmd (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\altcmd\altcmd.inf (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\altcmd\uninstall.bat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\42pv3UYd.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\OTn1GqBV.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Anwendungsdaten\temp.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

Hijackthis muss ich allerdings noch machen. 

So ich habe jetzt mal die Ergebnisse des Spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html) Doctor (Hijackthis) (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html) aufgeschrieben:

Niedrig (**°°°)   Adware.Advertising (1 Infizierungen)
     Browser Cookie
         ad.yieldmanager.com

Niedrig (**°°°)   Application.Tracking Coockies (2Infizierungen)
     Browser Cookie
         doubleklick.net


LG Devil-su
Hoch  (*****)   Adware.Peppi (2 Infizierungen)
     Datei
         C:DOKUMENTE UND EINSTELLUNGEN/HOME/ANWENDUNGSDATEN/syslog2.dll
      C:DOKUMENTE UND EINSTELLUNGEN/HOME/ANWENDUNGSDATEN/proxy.pac

Niedrig (**°°°) Rouque_AntiSpyware, AntivirusXP2008 (1 Infizierungen)
     Registri Wert
          HKEY_LOCAL_MACHINE_SOFTWARE/Microsoft/Windows/CurrentVersion/INternet Setting/User Agent/Post Plattform, Antivir XP08

Mittel (***°°) Adware.WinFixer (7 Infizierungen)
     Registri Wert
          HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore, Type
          HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore, FLags
          HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore, Count
          HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore, Time
          HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore, Blocked
      Registri Schlüssel
          HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore
          HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}

LG Devil-su

wo ist hijackthis?? (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html)
pack mal das komplette log hier rein!

Es war kein Log zu finden, das Ergebnis war alles, was ich sehen konnte. 

Lass malwarebytes nochmal scannen und gucke ob noch Schädlinge gefunden werden!!

Würde auch dass Tool Combofix mal benützen!!

http://virus-protect.org/artikel/tools/combofix.html

Dieses lässt du laufen, kann ne weile dauern, am Ende postest du bitte das Logfile davon.

Hallo  ersguterjunge,
so nun habe ich es so gemacht wie du geschrieben hast.
Hier Logfile:
ComboFix 08-08-13.05 - home 2008-08-14 18:22:17.1 - NTFSx86
Microsoft Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP Home Edition  5.1.2600.2.1252.1.1031.18.601 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\home\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox\Datenschutzrichtlinien.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox\Geschäftsbedingungen.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox\Website.url
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\Anwendungsdaten\tehxiu_navtmp.dat
C:\WINDOWS\system32\actskn43.ocx
C:\WINDOWS\system32\mdm.exe
D:\Autorun.inf

.
(((((((((((((((((((((((  Dateien erstellt von 2008-07-14 bis 2008-08-14  ))))))))))))))))))))))))))))))
.

2008-08-14 13:15 . 2008-08-14 13:15 <DIR> d-------- C:\WINDOWS\LastGood
2008-08-13 21:45 . 2008-08-14 10:30 <DIR> d-------- C:\Programme\Spyware Doctor
2008-08-13 21:45 . 2008-08-13 21:45 <DIR> d-------- C:\Dokumente und Einstellungen\home\Anwendungsdaten\PC Tools
2008-08-13 21:45 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-08-13 21:45 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-08-13 21:45 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-08-13 21:45 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-08-13 19:00 . 2008-08-13 19:00 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-13 19:00 . 2008-08-13 19:00 <DIR> d-------- C:\Dokumente und Einstellungen\home\Anwendungsdaten\Malwarebytes
2008-08-13 19:00 . 2008-08-13 19:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-13 19:00 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-13 19:00 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-13 12:14 . 2008-08-13 12:14 <DIR> d-------- C:\Programme\CCleaner
2008-08-13 02:30 . 2008-08-13 02:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-08-13 02:02 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-08-13 01:56 . 2008-08-13 01:56 <DIR> d-------- C:\Programme\Panda Security
2008-08-11 21:18 . 2008-08-11 21:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Scanner
2008-08-11 21:17 . 2008-08-11 21:20 <DIR> d-------- C:\Programme\CA Yahoo! Anti-Spy
2008-08-11 21:01 . 2008-08-11 21:01 0 --a------ C:\WINDOWS\[INI]
2008-08-11 20:59 . 2008-08-11 20:59 <DIR> d-------- C:\Dokumente und Einstellungen\home\Anwendungsdaten\InstallShield
2008-08-11 19:45 . 2008-05-05 14:08 208,896 --a------ C:\WINDOWS\system32\ConTest.dll
2008-08-11 19:45 . 2007-10-17 10:19 20,480 --a------ C:\WINDOWS\system32\SysRestore.dll
2008-08-11 19:24 . 2004-08-04 14:00 1,035,264 --a--c--- C:\WINDOWS\system32\dllcache\explorer.exe
2008-08-11 19:24 . 2004-08-04 14:00 1,035,264 --a------ C:\WINDOWS\explorer.exe
2008-08-11 16:01 . 2008-08-12 09:41 <DIR> d-------- C:\Programme\Enigma Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Group
2008-08-11 15:46 . 2008-08-14 12:34 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-11 15:13 . 2008-08-11 15:13 <DIR> d-------- C:\Programme\Trend Micro
2008-08-10 11:58 . 2008-08-10 11:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-08-10 10:27 . 2008-03-20 13:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-08-10 10:27 . 2008-03-20 13:03 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-08-10 10:27 . 2008-03-20 13:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-08-10 10:27 . 2008-08-14 18:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-08-10 10:27 . 2008-03-20 13:03 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-08-10 10:27 . 2008-03-20 13:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-08-10 10:27 . 2008-08-14 09:48 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-08-10 10:27 . 2008-08-10 10:27 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-08-09 20:48 . 2008-08-09 20:48 <DIR> d-------- C:\Programme\Avira
2008-08-09 20:48 . 2008-08-09 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-09 19:47 . 2008-08-09 19:47 <DIR> d-------- C:\Programme\Avira GmbH
2008-07-28 13:35 . 2008-07-28 13:35 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-07-28 13:35 . 2008-05-29 09:28 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-14 16:14 --------- d-----w C:\Programme\Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) 3 Beta 4
2008-08-14 10:39 --------- d-----w C:\Dokumente und Einstellungen\home\Anwendungsdaten\OpenOffice.org2
2008-08-13 19:58 --------- d-----w C:\Dokumente und Einstellungen\home\Anwendungsdaten\gtk-2.0
2008-08-11 19:00 --------- d-----w C:\Programme\Yahoo!
2008-08-11 18:59 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-11 18:51 --------- d-----w C:\Programme\FreePDF_XP
2008-08-11 18:50 --------- d-----w C:\Programme\WebMarket Ltd
2008-08-11 15:26 --------- d-----w C:\Programme\DAEMON Tools Pro
2008-08-09 20:04 --------- d-----w C:\Programme\peppi_clipart
2008-08-09 18:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2008-07-29 08:49 8,192 ----a-w C:\WINDOWS\system32\uiwbnp.dll
2008-07-29 08:49 149,120 ----a-w C:\WINDOWS\system32\drivers\uiwbrdr.SYS
2008-07-28 11:35 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-07-17 20:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-07-14 20:13 --------- d-----w C:\Dokumente und Einstellungen\home\Anwendungsdaten\Skype
2008-07-14 17:13 --------- d-----w C:\Dokumente und Einstellungen\home\Anwendungsdaten\skypePM
2008-07-11 17:29 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\AdobeUM
2008-07-11 16:00 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Yahoo!
2008-07-01 21:34 --------- d-----w C:\Dokumente und Einstellungen\home\Anwendungsdaten\Zylom
2008-06-30 19:51 --------- d-----w C:\Programme\Zylom Games
2008-06-30 18:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameHouse
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-03 21:24 7 ----a-w C:\Dokumente und Einstellungen\home\Anwendungsdaten\syslog2.dll
2008-03-31 21:33 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

------- Sigcheck -------

2004-08-04 14:00  17408  6d75bd5e29ad4433a00ff14631202c72 C:\WINDOWS\system32\svchost.exe

2004-08-04 14:00  510464  d17c3a98c752e581454f5bb27734a7cb C:\WINDOWS\system32\winlogon.exe
.
((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" [2007-08-30 17:43 4670704]
"DTP Werbe-Killer"="C:\Programme\Werbe-Killer\werbekiller.exe" [2002-06-24 14:47 673280]
"WEB.DE_WEB.DE SmartDrive Manager"="C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" [2008-07-29 10:50 1204224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"WireLessMouse"="C:\Programme\Office Mouse Driver\StartAutorun.exe" [2005-11-30 13:48 94208]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2003-09-05 17:55 1200178]
"GrooveMonitor"="C:\Programme\Microsoft Office 07\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"SpyHunter Security Suite"="C:\Programme\Enigma Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Group\SpyHunter\SpyHunter3.exe" [2008-01-23 14:47 847872]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 19:08 16342528 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-05-07 19:51 1826816 C:\WINDOWS\SkyTel.exe]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"MacrokeyManager"="WTMKM.exe" [2007-05-29 08:55 1969824 C:\WINDOWS\system32\WTMKM.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\home\Startmen�\Programme\Autostart\
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
Windows-Desktopsuche.lnk - C:\Programme\Windows Desktop (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) Search\WindowsSearch.exe [2007-02-05 15:40:46 118784]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) Search\MSNLNamespaceMgr.dll" [2007-02-05 15:39 294400]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"WEB.DE_WEB.DE SmartDrive Manager"="C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" /hide
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ulead AutoDetector v2"=C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\Microsoft Office 07\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office 07\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office 07\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24]
R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 09:26]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 05:36]
R0 ViPrt;VIA SATA IDE (http://www.computerhilfen.de/fachbegriffe-i-IDE.html) Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 09:26]
R1 BIOS;BIOS;C:\WINDOWS\system32\drivers\BIOS.sys [2005-03-16 08:23]
R1 uiwbrdr;uiwbrdr;C:\WINDOWS\system32\DRIVERS\uiwbrdr.sys [2008-07-29 10:49]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R2 WTService;WTService;C:\WINDOWS\system32\atwtusb.exe [2007-05-29 16:40]
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter (http://www.computerhilfen.de/fachbegriffe-a-Adapter.html) Driver (http://www.computerhilfen.de/fachbegriffe-d-Driver.html) Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2007-02-27 10:14]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-07-28 13:35]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-08-14 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-11 11:54]

2008-08-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Update\SoftwareUpdate.exe [2007-08-29 15:57]

2008-08-13 C:\WINDOWS\Tasks\SpyHunter Scanner.job
- C:\Programme\Enigma Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Group\SpyHunter\SpyHunter3.exe [2008-01-23 14:47]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SSODL-Uahpzdm-{B811F27E-12BB-58D4-2671-E75CA59EFC11} - (no file)


.
------- Zusätzlicher Scan Firefox (http://www.computerhilfen.de/download-8451109180319399.html) -: Profile - C:\Dokumente und Einstellungen\home\Anwendungsdaten\Mozilla\Firefox\Profiles\zuhx68zy.default\
FF -: plugin - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) 3 Beta 4\plugins\npnul32.dll
FF -: plugin - C:\Programme\Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) 3 Beta 4\plugins\NPOFF12.DLL
FF -: plugin - C:\Programme\Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) 3 Beta 4\plugins\nppdf32.dll
FF -: plugin - C:\Programme\Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) 3 Beta 4\plugins\npzylomgamesplayer.dll
FF -: plugin - C:\Programme\Yahoo!\Shared\npYState.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-14 18:26:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-14 18:28:42
ComboFix-quarantined-files.txt  2008-08-14 16:28:30

Pre-Run: 12 Verzeichnis(se), 34,110,930,944 Bytes frei
Post-Run: 16 Verzeichnis(se), 34,229,809,152 Bytes frei

198 --- E O F --- 2008-07-17 20:38:07

Was bedeutet die rote Warnung für mich, kann ich das ändern?
Danke u. Liebe Grüsse Devil-su

So klicke nun auf Start -> Ausführen -> Combofix /U

Dadurch wird alles von Combofix wieder gelöscht.

Mache nun nochmal einen Scan mit Malwarebytes!!

Danke an alle die sich bemüht haben mir so toll zu helfen. Nun läuft mein PC wieder problemlos. Ich kann es immer noch nicht glauben.
Danke,danke, danke..................
Liebe Grüsse Devil-su

voll genial...auch bei mir hat es hingehaun..

Voll gut, ;-) Machst deinen Namen alle Ehre *g*

AntiVir konnte meine Fehler nicht beheben..eine anderes Virenprogramm hat dies gemeldet:

BAD C:\WINDOWS\system32blphc7kkj0erce.scr                               Malicious Software
BAD C:\WINDOWS\system32\lphc7kkj0erce.exe                               Malicious Software

BAD
C:\TEMP\57329.EXE                                                       Malicious Software

Mit ccCleaner die Tmp Dateien löschen und dannach comp laufen lassen und mein System ist wie "neu" ;-)

Vielen Dank fuer Eure Vorarbeit *froi