Hallo!
Also habe ja schon einige Themen hier gelsesen darüber, und ich mach am besten mal ein eigenes auf (wegen Log-File ect.)...

Angefangen hat es am Samstag abend!
Mein PC war plötzlich sehr langsam und dann habe ich einfach nen Neustart gemacht - bin auch nicht mehr auf den Desktop gekommen.
Nach dem Hochfahren kam plötzlich diese nachricht mit dem entsprechendem Windows-Hintergrund: "Warning! Spyware detected on your computer!" ...scheint hier ja schon bekannt zu sein.
Aber anders als bei den ganzen restlichen Leuten hier, ist mein PC schon nach wenigen Sekunden wieder neu gestartet und das immer und immer wieder.
Ich habe einen Freund angerufen und der hat für mich gegooglet. Er hat mir ein paar Sachen vorgelesen - "schwierig weg zu bekommen, bla bla".

Da ich sowieso mein PC neu aufsetzen wollte, habe ich kurzer Hand formatiert. Alles lief wieder und ich war happy und dachte "juhu haste nochmal glück gehabt"

Doch dann war ich Sonntag unterwegs und als ich mein PC wieder angemacht habe war es noch schlimmer!! Noch nicht mal mehr diese Meldung, sondern:
Windows fährt hoch > "Willkommen..." > und bevor ich auf dem Desktop war ganz kurz bluescreen mit viel weißem Text und wieder von vorn das selbe (konnte den Text leider nicht so schnell lesen)!

Jetzt bin ich im abgesicherten Modus drin und bekomme folgendes Log-File, weiß nicht obs im abgesicherten hilft...

~~~~~~~~~~~~~~~~~~~

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:41, on 22.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*****\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdjdx.exe] C:\WINDOWS\system32\kdjdx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FF1C13A-0EAC-480A-9583-DF799828DDEE}: NameServer = 85.255.115.116,85.255.112.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5570E1B-7B49-4B9D-95E2-180A46BACDBC}: NameServer = 85.255.115.116,85.255.112.222
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 5010 bytes

~~~~~~~~~~~~~~~~~~~~~~~~

wäre um Hilfe sehr sehr Dankbar! Bin wegen der Arebit auf den Computer angewiesen

wenn ihr noch etwas braucht bitte sagen!

gruss,
und vielen dank schonmal für jede Hilfe!

und hier der Malware-Bericht:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1193
Windows 5.1.2600 Service Pack 2

22.09.2008 18:37:27
mbam-log-2008-09-22 (18-37-27).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 67958
Laufzeit: 5 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 13
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\antiwpa.dll (Malware.Tool) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\antiwpa (Malware.Tool) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdjdx.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{f5570e1b-7b49-4b9d-95e2-180a46bacdbc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{f5570e1b-7b49-4b9d-95e2-180a46bacdbc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{f5570e1b-7b49-4b9d-95e2-180a46bacdbc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{f5570e1b-7b49-4b9d-95e2-180a46bacdbc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\kdjdx.exe (Rootkit.DNSChanger.H) -> Delete on reboot.
C:\WINDOWS\Temp\tempo-02F.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tmp2E.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\antiwpa.dll (Malware.Tool) -> Delete on reboot.

SORRY HABS HINBEKOMMEN!!! ... Log-File-Post nicht mehr nötig!

SORRY HABS HINBEKOMMEN!!! ... Log-File-Post nicht mehr nötig!