Hier habe ich jetzt die Ergebnisse der 3 Programme:

Backlight:

08/13/08 23:38:42 [Info]: BlackLight Engine 1.0.70 initialized
08/13/08 23:38:42 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/13/08 23:38:42 [Note]: 7019 4
08/13/08 23:38:42 [Note]: 7005 0
08/13/08 23:39:09 [Note]: 7006 0
08/13/08 23:39:09 [Note]: 7011 204
08/13/08 23:39:09 [Note]: 7035 0
08/13/08 23:39:09 [Note]: 7026 0
08/13/08 23:39:09 [Note]: 7026 0
08/13/08 23:39:17 [Note]: FSRAW library version 1.7.1024
08/13/08 23:43:01 [Note]: 2000 1012
08/13/08 23:47:02 [Note]: 7007 0

Navilog:

Search Navipromo version 3.6.3 began on 13.08.2008 at 23:52:14,79

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Andreas"

Updated on 09.08.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1.win\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1.DEN\anwend~1" ***


*** Search folders in "C:\DOKUME~1\FAMILI~1.DEN\anwend~1" ***


*** Search folders in "C:\DOKUME~1\freenet\anwend~1" ***


*** Search folders in "C:\DOKUME~1\GAST~1.DEN\anwend~1" ***


*** Search folders in "C:\DOKUME~1\TEMP\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1.DEN\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\FAMILI~1.DEN\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\freenet\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\GAST~1.DEN\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\TEMP\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1.DEN\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\FAMILI~1.DEN\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\freenet\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\GAST~1.DEN\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

Suspicious Files :

lkcitdl.exe found !
lkcitdl.exe found !

* Scan in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ADMINI~1.DEN\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\FAMILI~1.DEN\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\freenet\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\GAST~1.DEN\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\TEMP\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\lokale~1\anwend~1" :


* In "C:\DOKUME~1\ADMINI~1.DEN\lokale~1\anwend~1" :


* In "C:\DOKUME~1\FAMILI~1.DEN\lokale~1\anwend~1" :


* In "C:\DOKUME~1\freenet\lokale~1\anwend~1" :


* In "C:\DOKUME~1\GAST~1.DEN\lokale~1\anwend~1" :


* In "C:\DOKUME~1\TEMP\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 14.08.2008 at 0:00:18,67 ***


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0xac153e0 size 0x1a8 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Ohje ohje,
also, ich stelle dich jetzt zur Entscheidung, ob du Neuaufsetzen willst, oder eine Bereinigung vornehmen/versuchen willst.

Entscheidest du dich für die zweite Variante, welche die schlechtere ist, folge den Schritten weiter:

Mach bitte folgendes:
Navilog1:

• Rufe das Programm bitte erneut auf und wähle die Option 2
• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
• Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

Danach:

Zitat:

Gehen Sie folgendermaßen vor, um die Wiederherstellungskonsole von der Windows XP-Startdiskette oder der Windows XP-CD-ROM zu starten:
1. Legen Sie die Windows XP-Startdiskette in das Diskettenlaufwerk ein, oder legen Sie die Windows XP-CD-ROM in das CD-ROM-Laufwerk ein, und starten Sie den Computer anschließend erneut.

Wenn Sie dazu aufgefordert werden, wählen Sie alle Optionen aus, die für einen Start des Computers von CD-ROM erforderlich sind.
2. Wenn die Willkommensseite angezeigt wird, starten Sie mit der Taste [R] die Wiederherstellungskonsole.
3. Wählen Sie die Installation aus, auf die Sie von der Wiederherstellungskonsole aus zugreifen möchten, falls Sie über ein Dual-Boot- oder Multiple-Boot-System verfügen.
4. Geben Sie das Administratorkennwort ein, wenn Sie dazu aufgefordert werden. Wenn es sich bei dem Administratorkennwort um ein leeres Kennwort handelt, drücken Sie einfach die [EINGABETASTE].
5. Geben Sie an der Eingabeaufforderung die erforderlichen Befehle ein, um Ihre Windows XP-Installation zu diagnostizieren und zu reparieren.

fixmbr \device\harddiskX x = Beliebige Zahl

X = in deinem Fall alle Festplatten, sprich 0,1,...

Danach führe erneut mbr.exe aus und poste den Log.

mfg

Edit: Den letzten Schritt musst du so oder so durchführen.

Hallo,

ich habe jetzt Navilog Option2 ausgeführt und folgendes Ergebnis bekommen:

bei der Eingabeaufforderung im Wiederherstellungsmodus habe ich Probleme den richtigen Befehl einzugeben

ich gebe ein: fixmbr \device\harddisk0,1,2 x = 3

Ich habe nur eine Festplatte mit 3 Partitionen ?!

______________________________________________________________

Navipromo Removal version 3.6.3 started on 14.08.2008 at 8:44:12,06

Fix running from C:\Programme\navilog1
Actual User Account : "Andreas"

Updated on 09.08.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\lokale~1\anwend~1" *


* Deletion in "C:\DOKUME~1\ADMINI~1.DEN\lokale~1\anwend~1" *

* Deletion in "C:\DOKUME~1\FAMILI~1.DEN\lokale~1\anwend~1" *

* Deletion in "C:\DOKUME~1\freenet\lokale~1\anwend~1" *

* Deletion in "C:\DOKUME~1\GAST~1.DEN\lokale~1\anwend~1" *

* Deletion in "C:\DOKUME~1\TEMP\lokale~1\anwend~1" *


*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1.win\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1.DEN\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\FAMILI~1.DEN\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\freenet\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\GAST~1.DEN\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\TEMP\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1.DEN\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\FAMILI~1.DEN\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\freenet\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\GAST~1.DEN\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\TEMP\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1.DEN\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\FAMILI~1.DEN\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\freenet\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\GAST~1.DEN\startm~1\progra~1" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\Andreas.D**N-78E44FB848\lokale~1\anwend~1" *


* In "C:\DOKUME~1\ADMINI~1.DEN\lokale~1\anwend~1" *


* In "C:\DOKUME~1\FAMILI~1.DEN\lokale~1\anwend~1" *


* In "C:\DOKUME~1\freenet\lokale~1\anwend~1" *


* In "C:\DOKUME~1\GAST~1.DEN\lokale~1\anwend~1" *


* In "C:\DOKUME~1\TEMP\lokale~1\anwend~1" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Suspicious Files not deleted by Navilog1 ***
!! Possible legitimate files, must be checked before deleting !!

Suspicious Files in "C:\WINDOWS\system32" :

lkcitdl.exe found !

lkcitdl.exe found !


*** Cleaning stage complete on 14.08.2008 at 8:47:24,67 ***

Wenn du fixmbr ausgeführt hast, stell bitte erneut ein Logfile von mbr.exe in deinen Post.

bei der Eingabeaufforderung im Wiederherstellungsmodus habe ich Probleme den richtigen Befehl einzugeben

ich gebe ein: fixmbr \device\harddisk0,1,2 x = 3

Antwort ist: falscher Befehl

Ich habe nur eine Festplatte mit 3 Partitionen ?!

du musst das jeweils nur mit einer zahl machen:

"fixmbr \device\harddisk0"
"fixmbr \device\harddisk1"
.
.
.



Am besten noch mit allen ext. Laufwerken.