Windows XP: Hallo zusammen, habe Frage wegen Tesch Inkasso Virus

hallo,

http://www.computerhilfen.de/info/virenwarnung-tesch-inkasso.html

wichtigsten daten sichern auf eine externe festplatte oder interne.
anschließend formatieren, bei einem geschäftscomputer muss formatiert werden
alles andere hatt ein restrisiko was einem teuer zu stehen kommen kann.

mfg Zidane

Hallo Zidane,

lieben Dank für Deine Antwort, habe die wichtigsten Daten runtegeladen auf USB Stick.
Wenn ich formatiere gehen mir ja alle Programme verloren, von den meisten habe ich die Orginal CD nicht mehr, ausgeliehen und die wurden nicht mehr gesehen.
Geschäftscomputer heisst nicht das mehrere angeschlossen sins, sondern ich habe ein Geschäft und brauche den Comp zum Arbeiten jeden Tag und Rechnungen und Lieferscheine schreiben. Bis ich wieder alle Programme habe vergehen Wochen, lebe in Griechenland und hier bekommt man keine deutschen Programme.

Hast Du nicht vielleicht eine andere Idee was ich machen könnte

Lieben Dank Fridolina

hallo,

was für programme währen das den die du zwingend brauchst ?
wird mit diesem pc auch online banking usw. gemacht ?
(schädlinge können diese daten ausspionieren und weitersenden an seinem porgrammierer.)
also wegen programme die im moment nicht zu verfügung stehen nicht zu formatieren...naja ich weiß nicht.
es gibt natürlich auch eine ganz andere möglichkeit die schädlinge los zu werden (mit anderen software-tools)
dies beinhaltet aber ein restrisiko.
falls du diesen in kauf nehmen willst...kannst du entscheiden.

mfg Zidane

Hallo Zidane,

ja ich habe online Banking mit der Postbank, ich hoffe da passiert nichts denn schliesslich haben die die Nummern nicht wo ich bei jeder Aktion eingeben muss. Ich habe gestern die SYS-wiederherstellung ausgeschlatet, im gesicherten Modus Windows gestartet und dann nochmal Karpensky laufen lassen, keinen Fund ausser 6 normalen Viren die er deaktiviert bzw gelöscht hat.
Was meintest Du mit Tolls, so gut kenne ich mich auch nicht auf dem Computer aus. Kann ich denn nochwas anderes machen . Gibt es denn schon ein Programm wo diesen Trojanter erkennt und eliminiert? Ich will den wieder loswerden. Im Internet steht das Kapensky ihn erkennt deswegen habe ich das gestern schnell gekauft und runtergeladen aber keine Erkennung. Hast Du noch eine andere Idee.

Liebe Grüsse Sylvia aus dem warmem Griechenland die am verzweifeln ist.

hallo,

Systemwiederherstellung deaktivieren bzw deaktiviert lassen...

eine Datenträgerbereinigung machen....

Malwarebytes runterladen (&updaten)
pc damit im Abgeischertem modus scannen.
anschließend pc neustarten und MB Report hier rein posten.

Downloadlink für Malwarebytes:
http://virus-protect.org/artikel/tools/malwarebytes.html

mfg Zidane

Hallo Zidane

hier eine Neuigkeit, super super. Ich habe gerade beim goggeln herausgefunden das Karpensky diesen Trojaner als Worm-Win32 Downloader-wh erkennt. Habe sofort auf meinem Bericht geschaut und tatsächlich hat er in 5x desinfinziert. Ist jetzt alles wieder gut? Habe gerade die Systemwiederherstellung aktiviert.
Ich als erstes gestern die SYS deaktiviert dann im abgesichtern Modus gestartet und dann Karpensky drüberlaufen lassen, er hat 5x diesen Worm Win 32 desinfiziert dann ausgeschaltet und wieder heute neu gestartet und SYS wieder deaktieviert.

Ist das so alles richtig Zidane

Lieben Dank für Deine Hilfe

hallo,

verlass dich nie auf einen einzigen scanner.
mach das was ich dir oben geschrieben habe anschließend postest du desen Report hier rein
dan kann man gucken wo was verändert wurde und die art des schädlings.

mfg Zidane

Danke Zidane,

also werde ich das machen, dann sind wir auf der sicheren Seite, ist es eigentlich normal das der Comp im abgesicherten Modus solange braucht, das Karpensky hatte 2 Stunden alles zu checken.

Wann soll ich diese malbyts runterladen jetzt im normalen Status oder alles im abgesicherten Modus?

Liebe Grüsse und danke, ach nochwas: nicht das jemand denkt wie kann man nur so dumm sein und den Anhang öffnen:
Ihr werdet es nicht glauben aber ich habe gerade ein Inkasso am laufen bei meiner Versicherung die in Köln ihren Sitz hat und somit als da Amtsgericht Köln stand machte ich es auf. Ich wusste ja auch nicht ob meine Versicherung ein eigenes Inkassobüro betreibt oder ein externes benutzt, durch Zufall ist Teschinkasso auch noch bei Köln. Für mich sah im ersten Moment alles danah aus was sich auf mein Inkasso bezieht allerdings fand ich komisch das kein Aktenzeichen usw. und nur Damen und Herren stand und nicht mein Name.
Soviele Zufälle, sowas kann auch nur mir passieren.

Liebe Grüsse Sylvia

hallo,

 

Wann soll ich diese malbyts runterladen jetzt im normalen Status oder alles im abgesicherten Modus?
 

Laden = Normalmodus
Update & Vollscan = abges. Modus !!

Hallo Zidane und HCK

So nun bin ich nach vollen 2,5 Stunden wieder da, solange hat das Programm gebraucht.Finde ja super das ihr mir helft.
So Zidane hier ist der Bericht, bin ja gespannt was Du sagst, hoffentlich gibst Du mir ein Okay, wann soll ich die SYS Wiederherstellung aktivieren, jetzt gleich? Habe jetzt neu im normalen Modus gestartet.

Liebe Grüsse Sylvia

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1316
Windows 5.1.2600 Service Pack 2

25/10/2008 6:43:44 μμ
mbam-log-2008-10-25 (18-43-44).txt

Scan-Methode: Vollstδndiger Scan (A:\|C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 155785
Laufzeit: 2 hour(s), 0 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlόssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bφsartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bφsartigen Objekte gefunden)

Infizierte Registrierungsschlόssel:
(Keine bφsartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bφsartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bφsartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bφsartigen Objekte gefunden)

Infizierte Dateien:
D:\Dokumente und Einstellungen\Sylvia\Lokale Einstellungen\Temp\DAT60.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
 

Lesen ...... Du scheinst den richtig BÖSEN nicht zu haben ....
http://www.computerhilfen.de/hilfen-2-255350-15.html#msg1304889

Wenn der Scan wirklich im abges. Modus war ...
Mach die SYS-WDH also wieder an . Und setz gleich nen neuen Punkt , die ist ja leer !!

Und gib mal zur Sicherheit ein HijackThis - Logfile hier ein ... 

Hallo HCK

Du scheinst Dich ja sehr gut auszukennen mit Comp. aber leider habe ich als Nichtkenner ein paar Schwierigkeiten mit Deinen Ausdrücken (werde mich aber weiterbilden  .

Was meinst Du setz mal nen neuen Punkt ??? die ist ja leer.

Ja sicher wars im abgesicherten Modus, habe vor dem Starten auf Windows F8 gedrückt und dann auf abgesicherten Modus. Also dort alles in Ordnung. Ich werde jetzt auf jeden Fall das Karpensky kaufen, hatte bis jetzt Avira. Sag mal ich hatte mir mal einen Spamfighter zugelegt und der funktionierte auch im Outlook, jetzt benutze ich aber immer Incredit Mail und dort ist kein Spamfigther, im Outlook hat er immer alle Mail in den Spam geschickt und ich konnte dort löschen.
Wie kriege ich einen Spamfigther ins Incredit Mail damit mir sowas nicht nochmal passiert.
Sitze seit gestern nur am Comp und versuche zu retten was zu retten ist.
Ich werde nun gleich das Hijack runterladen.

Liebe Grüsse und vielen Dank
Sylvia

Hallo HCK

nochmal ich, ich weiss ich bin lästig aber komme mit dem Hijack nicht klat, was meinst Du mit Logofile, woher kriege ich das, denn dort soll man das eingeben.

Liebe Grüsse Sylvia

Systemwiederherstellung aufrufen , Punkt setzen
Start , Hilfe & Supp , Zeile mit "Systemwiederherstellung"
da "einen Punktsetzen" anklicken .
Namme ggf : "nach malwarescan" 

Es ist schon sehr nett,wie man hier hilft.Jdoch würde ich mal folgendes bedenken:
Ein geschäftlich genutzter rechner soll gereinigt werden,was an und für sich zwar geht,aber ein erhebliches restrisiko beinhaltet.
Ich würde solche rechner komplet formatieren und system neu instalieren.Danach würde ich drangehen,das system abzusichern,auch gegen schädlinge.Egal wieviel arbeit dies ist,solche ein rechner ist zum arbeiten.Kann man damit nicht arbeiten,entsteht ein finanzill messbarer verlust.

@Fridolina:
Welche pogramme sind derzeit nicht wiederzubeschaffen? Bitte genaue auflistung und verwendungszweck angeben,eventuell kann man alternativen beschaffen,die kostenlos sind.Weitere optionen hätte ich auch,deren erläuterung hat hier nix zu suchen.

hallo,

@Fridolina

Hijackthis
Downloadlink: klick
Anleitung: klick

ps: nach den programmen fragt ich auch schon...bis jetzt keine angaben...

mfg Zidane 

Kann mich diesmal "w" nur anschließen. Das System ist nicht mehr vertrauenswürdig!!

Sei froh das es nicht die Mail von Stayfriends war, da wäre es anders ausgegangen!!

Ging mir "oben" nur darum ,den PC ggf zur Sicherung der Daten hinzubekommen , bevor jemand auf die Idee kommt , die Platte wo anders anzuschließen !!

Knoppix / Bart-Pe wären ggf auch hilfreich .

Hallo HCK und alle anderen

So nun ist es heute der dritte Tag und der Comp. läuft völlig normal. Ich hoffe ich habe diesen Virus jetzt hinter mir, ja ihr habt ja schon alle Recht mit Vertrauenswürdig usw. allerdings habe ich ein Programm von der Steuerverwaltung drauf wo man bei der Installation richtig viel Geld zahlt und zwar ein paar tausende, vom Programm bekommt man keine CD, wenn ich jetzt wieder zur Steuerverwaltung müsste, dann müsste ich das nochmal bezahlen und dazu habe ich keine Lust, Ihr könnt mir auch nicht helfen denn das Programm ist in griechisch und ist speziell für die griechische Steuerbehörde.
Deswegen bin ich so zögerlich, alles andere bekommt man sicher so oder so wieder auf den Comp.

Ich werde einfach warten, bis jetzt alles in Ordnung.

Liebe Grüsse und vielen Dank und hoffentlich passiert mir sowas nicht wieder, habe jetzt auch Spamfigther gekauft für Incredi Mail, Karpensky hab ich und Malebytes jetzt auch. Ich offe nun bin ich geschützt fürs nächste Mal.

Ein scan mit Combofix wäre noch sinnvoll.

Lieben Dank ersguterjunge,

kann man das aus dem Internet herunterladen? Was ist das für ein Programm?
Sag mal besteht Gefahr obwohl Karpensky im abgesicherten Modus und mit deaktivierter Sys-Wiederherstellung in 5x desinfiziert hat.

Ich bin über jeden Tip froh, ist wirklich nicht möglich ihn zu formatieren sonst hätte ich es schon längst getan. Leider habe ich mein Geschäft in Griechenland.

Liebe Grüsse und Danke

Combofix ist frei downloadbar: hier ein Link, benutz die Anleitung und poste am ende vom scan das Logfile.

http://virus-protect.org/artikel/tools/combofix.html

Hallo ersguterjunge,

Du bringst mich vielleicht zum Schwitzen, habe das gerade versucht, da stand was von CClean, habe ich gemacht, fragte mich ob Datein löschen da wurde es mir ganz schön murmelig, habe aber ja gesagt.
Also wieder über Deinen Link zu Combofix, ausführen hat dann auch geladen, allerdings kam eine Meldung ich kann nicht unter gleichem Namen soll was nummerisches eingeben, was ist das, wo ist nun das Programm. Bin ich vielleicht zu dumm? Bin ja auch blond

Liebe Grüsse Sylvia, lass mich jetzt nicht hängen

Hallo ersguterjunge,

ja ja Du warst weg, hab es aber trotzdem geschafft allerdings hatte ich die englische Version. Bevor ich das Log reinstelle, nur kurz, ein paar Fragen. Was mache ich nun mit den Programmen Hijack, Cclean und Combofix,Malebyte, soll ich die jetzt wieder alle löschen, habe jetzt alle diese Programme auf dem Desktop.

So und hier nun der Logfile:

Lieben Dank für die Analyse und hoffentlich ist jetzt endlich Schluss mit diesen Viren bei mir, Sylvia

ComboFix 08-10-25.01 - Sylvia 2008-10-26 22:35:00.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1253.1.1031.18.197 [GMT 2:00]
Running from: D:\Dokumente und Einstellungen\Sylvia\Desktop\ComboFix.exe
 * Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((   Files Created from 2008-09-26 to 2008-10-26  )))))))))))))))))))))))))))))))
.

2008-10-26 21:59 . 2008-10-26 21:59   <DIR>   d--------   D:\Programme\CCleaner
2008-10-26 21:59 . 2008-10-26 21:59   <DIR>   d--------   D:\Dokumente und Einstellungen\Sylvia\Startmenu
2008-10-26 21:42 . 2008-10-26 21:42   <DIR>   d--------   D:\Programme\Trend Micro
2008-10-25 20:41 . 2008-10-25 20:41   <DIR>   d--------   D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
2008-10-25 20:40 . 2008-10-25 20:40   <DIR>   d--------   D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
2008-10-25 15:06 . 2008-10-25 15:06   <DIR>   d--------   D:\Programme\Malwarebytes' Anti-Malware
2008-10-25 15:06 . 2008-10-25 15:06   <DIR>   d--------   D:\Dokumente und Einstellungen\Sylvia\Anwendungsdaten\Malwarebytes
2008-10-25 15:06 . 2008-10-25 15:06   <DIR>   d--------   D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-25 15:06 . 2008-10-22 15:10   38,496   --a------   D:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-25 15:06 . 2008-10-22 15:10   15,504   --a------   D:\WINDOWS\system32\drivers\mbam.sys
2008-10-24 21:07 . 2008-10-24 21:07   552   --a------   D:\WINDOWS\system32\d3d8caps.dat
2008-10-24 19:16 . 2008-10-24 19:56   <DIR>   d--------   D:\WINDOWS\system32\CatRoot_bak
2008-10-24 17:30 . 2008-10-24 17:43   96,976   --a------   D:\WINDOWS\system32\drivers\klin.dat
2008-10-24 17:30 . 2008-10-24 17:30   87,855   --a------   D:\WINDOWS\system32\drivers\klick.dat
2008-10-24 17:29 . 2008-10-24 17:29   <DIR>   d--------   D:\Programme\Kaspersky Lab
2008-10-24 17:29 . 2008-10-26 12:46   <DIR>   d--------   D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-24 17:29 . 2008-10-26 22:37   3,591,200   --ahs----   D:\WINDOWS\system32\drivers\fidbox.dat
2008-10-24 17:29 . 2008-10-26 22:37   409,632   --ahs----   D:\WINDOWS\system32\drivers\fidbox2.dat
2008-10-24 17:29 . 2008-10-26 22:37   31,232   --ahs----   D:\WINDOWS\system32\drivers\fidbox.idx
2008-10-24 17:29 . 2008-10-26 22:37   4,576   --ahs----   D:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-24 17:25 . 2008-10-24 17:25   <DIR>   d--------   D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-26 20:38   ---------   d-----w   D:\Programme\SPAMfighter
2008-10-25 18:42   ---------   d-----w   D:\Programme\IncrediMail
2008-10-24 14:39   ---------   d-----w   D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-11 17:39   ---------   d-----w   D:\Dokumente und Einstellungen\Sylvia\Anwendungsdaten\U3
2008-08-28 10:04   333,056   ----a-w   D:\WINDOWS\system32\drivers\srv.sys
2006-09-07 09:40   26,624   ----a-w   D:\Dokumente und Einstellungen\Sylvia\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="D:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Skype"="D:\Programme\Skype\Phone\Skype.exe" [2007-02-09 25388584]
"IncrediMail"="D:\Programme\IncrediMail\bin\IncMail.exe" [2008-10-16 243072]
"swg"="D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-03 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="D:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Device Detector"="D:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe" [2003-11-26 217088]
"RemoteControl"="D:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="D:\Programme\Ahead\InCD\InCD.exe" [2005-01-03 1385472]
"HP Software Update"="D:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"SPAMfighter Agent"="D:\Programme\SPAMfighter\SFAgent.exe" [2008-07-29 321672]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 D:\WINDOWS\SOUNDMAN.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="D:\WINDOWS\system32\sti_ci.dll" [2004-08-04 137216]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DIVXc32.dll
"vidc.DIV4"= DIVXc32f.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LexBceS"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"D:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"D:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"D:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"D:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"D:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;D:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R2 SPAMfighter Update Service;SPAMfighter Update Service;D:\Programme\SPAMfighter\sfus.exe [2008-07-29 184968]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;D:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
S3 AvFlt;Antivirus Filter Driver;D:\WINDOWS\system32\drivers\av5flt.sys [ ]
S3 netModUSBService;Service for netMod USB CAPI Driver;D:\WINDOWS\system32\drivers\nMUSB.sys [2004-09-08 62824]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-Lexmark X1100 Series - D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
HKLM-Run-zzz_ImInstaller_Magentic - D:\Dokumente und Einstellungen\Sylvia\Lokale Einstellungen\Temp\ImInstaller\Magentic\magentic_install.exe
Notify-WgaLogon - (no file)


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.de/
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R0 -: HKLM-Main,Default_Search_URL = hxxp://www.google.com/ie
R0 -: HKCU-Search,SearchAssistant = hxxp://www.google.com/ie
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
R0 -: HKLM-Search,SearchAssistant = hxxp://www.google.com/ie
O8 -: Nach Microsoft &Excel exportieren - D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-26 22:39:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: D:\WINDOWS\system32\winlogon.exe
-> D:\WINDOWS\system32\Ati2evxx.dll
.
------------------------ Other Running Processes ------------------------
.
D:\WINDOWS\system32\ati2evxx.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
D:\WINDOWS\system32\ati2evxx.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\Programme\IncrediMail\bin\IMApp.exe
D:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
D:\WINDOWS\system32\msiexec.exe
D:\Programme\HP\Digital Imaging\bin\hpqste08.exe
D:\Programme\Skype\Plugin Manager\skypePM.exe
D:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
.
**************************************************************************
.
Completion time: 2008-10-26 22:41:38 - machine was rebooted
ComboFix-quarantined-files.txt  2008-10-26 20:41:34

Pre-Run: 3.442.704.384 Bytes frei
Post-Run: 3,697,160,192 Bytes frei

153   --- E O F ---   2008-10-24 18:03:33
 

@Fridolina:
Mal eine generelle frage:
Es ist Dein rechner,Du bist dafür verantwortlich.oder sehe ich da etwas falsch?Das system ist nicht mehr vertrauenswürdig.Dir wird man Ärger bereiten,wenn von diesem rechner schaden ausgeht.Da ist die gebühr,um ein pogramm neu zu instalieren,eher billig gegen.
Ich würde mir ein festplatte extra kaufen,um nach einer neuinstalation ein image aufzuspielen.
Nach instalation der spezialsoftware kann man wieder ein image machen.Aufgrund deränderungen lassen sie die dateien sicher finden,die angeblich so speziell sind.
Auch andere möglichkeiten sind denkbar.

Jedoch scheint dir das restrisiko,welches Deinem rechner anhaftet,geringer zu sein,als lehrgeld zu zahlen.
Nur mal als Info:
http://malte-wetz.de.vu/index.php?viewPage=sec-removal.html
http://technet.microsoft.com/en-us/library/cc512587.aspx

Das sind sicher keine Stümper.Denke bitte über die folgen  nach,sollten noch reste im system bleiben.Die seltsamen werkzeuge finden nicht alles,egal,was hier einige leute verzapfen.Nur weil eine bedrohung weg ist,wird Niemand Dir garantieren,das nicht irgendwo noch eine hintertüre ist.

Ach ja,Manches ach so spezielle pogramm ist seltsamerweise im netz zu bekommen.

Das Combofix Logfile sieht okay aus!

w hat schon recht, ausschließen das man besucher hat,kann man nicht. Bin mir jedoch ziemlich sicher, das die Reste keinen Schaden mehr machen werden.

>> Was mache ich nun mit den Programmen Hijack, Cclean und Combofix,Malebyte, soll ich die jetzt wieder alle löschen, habe jetzt alle diese Programme auf dem Desktop. <<<

Die lass schön drauf !
Malwarbytes immer im abges.Modusstarten , 1. Update , 2. Vollscan machen .

Würde ich jetzt zum Abschluss nochmal machen .
 

Combofix bitte noch entfernen:

Start -> Ausführen -> Combofix /U