Ja, ich hatte sie schon gelöscht.

im Anhang der OTL.txt

Bitte dienstalliere über Systemsteuerung/Software alle Toolbars sowie ZoneAlarm. Sag Bescheid wenn das durch ist. Statt ZoneAlarm verwendest du die Windows-Firewall.

Ist erledigt. Ich hoffe, ich habe keine Toolbar übersehen.

Gut. Bitte mach wieder ein frisches OTL-Custom-Log.

Muss ich wieder was in Benutzerdefinierte Scans einfügen?

Ja wie in #15 gepostet

Okay, hier der log

Zitat:

Folder = C:\Dokumente und Einstellungen\s\Desktop\gegen viren

Bitte achte genauer auf die Anleitungen! Die Tools sollen direkt auf den Desktop und nicht in irgendwelche Unterordner vom Desktop!

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2010.05.03 15:31:01 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Dokumente und Einstellungen\s\Anwendungsdaten\Mozilla\Firefox\Profiles\69q0roxi.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010.05.02 20:05:46 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\s\Anwendungsdaten\Mozilla\Firefox\Profiles\69q0roxi.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.05.02 20:02:53 | 000,000,000 | ---D | M] (softonic-de3 Toolbar) -- C:\Dokumente und Einstellungen\s\Anwendungsdaten\Mozilla\Firefox\Profiles\69q0roxi.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}
[2010.05.02 20:05:47 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\s\Anwendungsdaten\Mozilla\Firefox\Profiles\69q0roxi.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=827316"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.startup.homepage: "http://de.forestle.org/"
FF - prefs.js..keyword.URL: "http://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p="
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
[2011.02.09 20:30:04 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2010.08.06 15:32:46 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD_Start.INI
[2010.06.21 16:24:05 | 000,000,003 | ---- | C] () -- C:\WINDOWS\treeskp.sys
[2010.06.21 16:24:05 | 000,000,003 | ---- | C] () -- C:\WINDOWS\sbacknt.bin
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Habe die MovedFiles hochgeladen.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

Ist durch.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hier der log:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-06-16.02 - s 17.06.2011  15:00:47.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1022.468 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\s\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\s\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\s\WINDOWS
c:\windows\Downloaded Program Files\popcaploader.dll
c:\windows\Downloaded Program Files\popcaploader.inf
c:\windows\IsUn0407.exe
c:\windows\system32\Hook.dll
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-17 bis 2011-06-17  ))))))))))))))))))))))))))))))
.
.
2011-06-17 12:13 . 2011-06-17 12:13	--------	d-----w-	C:\TDSSKiller_Quarantine
2011-06-17 10:04 . 2011-06-17 10:04	--------	d-----w-	c:\dokumente und einstellungen\s\Lokale Einstellungen\Anwendungsdaten\Temp
2011-06-16 14:38 . 2011-06-16 14:38	--------	d-----w-	c:\dokumente und einstellungen\s\Anwendungsdaten\Malwarebytes
2011-06-16 14:38 . 2010-11-29 15:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-06-16 14:38 . 2011-06-16 14:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-06-16 14:38 . 2010-11-29 15:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-06-16 14:38 . 2011-06-16 19:28	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-06-16 14:05 . 2011-06-17 11:51	--------	d-----w-	C:\_OTL
2011-06-15 13:10 . 2011-04-21 13:37	105472	------w-	c:\windows\system32\dllcache\mup.sys
2011-06-08 14:16 . 2011-06-08 14:16	388096	----a-r-	c:\dokumente und einstellungen\s\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-06-08 14:16 . 2011-06-08 14:16	--------	d-----w-	C:\Trend Micro
2011-05-29 16:37 . 2011-05-29 18:44	--------	d-----w-	c:\programme\PDF24
2011-05-19 03:54 . 2011-05-19 03:54	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-02 15:31 . 2004-08-04 08:00	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-04-29 16:19 . 2004-08-04 08:00	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-04-27 13:23 . 2010-11-15 23:05	0	----a-w-	c:\windows\system32\ConduitEngine.tmp
2011-04-25 16:05 . 2004-08-04 08:00	916480	----a-w-	c:\windows\system32\wininet.dll
2011-04-25 16:05 . 2004-08-04 08:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-04-25 16:05 . 2004-08-04 08:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2004-08-04 08:00	385024	----a-w-	c:\windows\system32\html.iec
2011-04-21 13:37 . 2004-08-04 08:00	105472	----a-w-	c:\windows\system32\drivers\mup.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OfficeWeb mouse"="c:\programme\HP\HP Mouse\Panel.exe" [2005-07-11 233472]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2009-06-17 2363392]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-10-11 14940040]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-27 344064]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-29 136600]
"HP Software Update"="c:\programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 729178]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"eabconfg.cpl"="c:\programme\HPQ\Quick Launch Buttons\EabServr.exe" [2005-10-11 409600]
"Cpqset"="c:\programme\HPQ\Default Settings\cpqset.exe" [2005-08-01 233534]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-27 1454080]
"SAFEHOME HotKeys"="c:\programme\Steganos Safe Home\SteganosHotKeyService.exe" [2007-03-21 25088]
"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-13 281768]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
"PDFPrint"="c:\programme\PDF24\pdf24.exe" [2011-04-28 220552]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
HP Mouse.lnk - c:\programme\HP\HP Mouse\Panel.exe [2007-3-8 233472]
hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2002-11-24 40960]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-11-9 805392]
NkbMonitor.exe.lnk - c:\programme\Nikon\PictureProject\NkbMonitor.exe [2007-12-25 118784]
Philips GoGear Spark Device Manager.lnk - c:\programme\Philips\GoGear Spark Device Manager\main.exe [2010-3-11 124784]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42	72208	----a-w-	c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^officejet 6100.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\officejet 6100.lnk
backup=c:\windows\pss\officejet 6100.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 20:16	39792	----a-w-	c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]
2005-05-04 09:59	794624	----a-w-	c:\programme\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 14:18	413696	----a-w-	c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\programme\Microsoft ActiveSync\iPAQ Voice Messenger\rapimgr.exe"= c:\programme\Microsoft ActiveSync\iPAQ Voice Messenger\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\iPAQ Voice Messenger\wcescomm.exe"= c:\programme\Microsoft ActiveSync\iPAQ Voice Messenger\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\iPAQ Voice Messenger\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\iPAQ Voice Messenger\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23.02.2009 22:56 691696]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [11.07.2003 15:22 14912]
R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];c:\windows\system32\drivers\sleen15.sys [21.02.2007 14:33 80232]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.03.2009 22:59 136360]
R3 HidMouse;HidMouse;c:\windows\system32\drivers\HidMouse.sys [08.03.2007 21:43 30848]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22.08.2005 11:06 231424]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [17.02.2008 13:30 4352]
S3 dtwmnic5;Telekom Eumex 504PC SE;c:\windows\system32\DRIVERS\dtwmnic5.sys --> c:\windows\system32\DRIVERS\dtwmnic5.sys [?]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [17.02.2008 13:30 265088]
S3 PAC207;CIF USB Camera;c:\windows\system32\drivers\PFC027.SYS [05.02.2009 16:27 505984]
S3 ulisa;Telekom ISDN-Adapter (USB);c:\windows\system32\Drivers\ulisa.sys --> c:\windows\system32\Drivers\ulisa.sys [?]
S3 Wdm1;USB Bridge Cable Driver;c:\windows\system32\drivers\usbbc.sys [11.03.2007 20:20 15576]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-06-17 10:11	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2007-06-28 c:\windows\Tasks\FRU Task 2002-11-25 03:56ewlett-Packard2002-11-25 03:56p officejet 6100 series25DE561F89B8A4282FC607A70B3C882C952F172E173818408.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2002-11-24 18:56]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = hxxp://images.google.com/images?hl=en&lr=&ie=UTF-8&oe=UTF-8&q=&sa=N&tab=wi
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Free YouTube Download - c:\dokumente und einstellungen\s\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\s\Anwendungsdaten\Mozilla\Firefox\Profiles\69q0roxi.default\
FF - prefs.js: browser.search.defaulturl - 
FF - prefs.js: browser.search.selectedEngine - 
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\programme\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\programme\DivX\DivX Plus Web Player\firefox\wpa
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{184AA5E6-741D-464a-820E-94B3ABC2F3B4} - (no file)
MSConfigStartUp-DAEMON Tools Lite - c:\programme\DAEMON Tools Lite\daemon.exe
MSConfigStartUp-iTunesHelper - c:\programme\iTunes\iTunesHelper.exe
MSConfigStartUp-swg - c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
AddRemove-Adobe Acrobat 5.0 - c:\windows\ISUN0407.EXE
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
AddRemove-S3 - c:\windows\IsUn0407.exe
AddRemove-Siedler3Deinstall - c:\windows\IsUn0407.exe
AddRemove-{A2B58B18-5D04-4006-9713-B6945880746E} - c:\dokumente und einstellungen\s\Lokale Einstellungen\Anwendungsdaten\{B278BA8C-C407-4742-B58E-CE34D8C8A15B}\Setup.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-06-17 15:19
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = c:\programme\HPQ\Default Settings\cpqset.exe????????????6?4?1?2??????? ???B?????????????hLC???????? 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(552)
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll
.
- - - - - - - > 'explorer.exe'(1872)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\progra~1\WINDOW~1\wmpband.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\avmwlanstick\WlanNetService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Microsoft ActiveSync\iPAQ Voice Messenger\Wcescomm.exe
c:\programme\HPQ\SHARED\HPQWMI.exe
c:\progra~1\MI3AA1~1\IPAQVO~1\rapimgr.exe
c:\programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-06-17  15:26:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-06-17 13:26
.
Vor Suchlauf: 12 Verzeichnis(se), 17.588.097.024 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 61.164.326.912 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - C2E3B14DB4738EE19C9ECF8CEC6CFBF3
         

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

das OTL hat nicht geklappt, aber die anderen beiden sind im Anhang