Hallo

Les Dir die Seiten bitte in Ruhe durch

Je mehr Schreib/Lesezugriffe auf der Festplatte, umso kleiner wird die Chance überhaupt noch Daten zu retten

Die besten Tricks für eine Datenrettung

Viel Glück
cad

Zitat:

Zitat von cad

Hallo

Les Dir die Seiten bitte in Ruhe durch

Je mehr Schreib/Lesezugriffe auf der Festplatte, umso kleiner wird die Chance überhaupt noch Daten zu retten

Die besten Tricks für eine Datenrettung

Viel Glück
cad

Vielen Dank für den Hinweis auf die Seite!

Allerdings bewegt mich immer noch die Frage, wie weit mein System noch verseucht ist. Wenn die Festplatte virenfrei ist, dürfte es doch egal sein wie oft Schreib/Lesezugriffe erfolgen. Die Datenverluste sind in den Sicherungen auf den externen Festplatten.
Oder soll das jetzt bedeuten ich habe den Kido immer noch? Bin mit Avira, Heise-Browsercheck, Kidokiller, MS malecious software removal tool drüber. Was ist mit den besagten Funden auf E: und J:? Bin mit Avira, Heise-Browsercheck, Kidokiller, dem Bonner Test, MS malecious software removal tool drüber. Hab ich da was falsch gemacht?

Viele Grüße
nie111

Hallo

Ich bin davon ausgegangen, dass Dein System schon komplett bereinigt wurde und habe nur Deine Frage nach den verschiedenen Datenrettungsprogrammen beantwortet.

Den Thread sollte einer von den Plagegeister Spezialisten übernehmen

Gruß cad

Hallo,

1. Vergewissere dich das dir alle versteckten Datein und Ordner angezeigt werden.
2. Poste bitte ein HijackThis Log.

Hallo und

Kido ist ein fieses Zeug und so wie du vorgegangen bist, bist du ihn ganz sicher nicht los. Wenn ich mir so deine Softwareliste ansehe, dann begehst du sowieso einen grundsätzlichen Fehler. Ganz abgesehen von falsch durchgeführten Datensicherungen. Du hast dich mehrfach neu infiziert, deshalb greifen wir jetzt erstmal zum Holzhammer.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Hallo zusammen
und vielen Dank für die zwischendurch gegebenen Antworten. Bei mir ist vorhin gerade Papa-Wochenendeschluss gewesen.
Da der Virus erstmal restlos weg sein sollte, dazu das cofi-Protokoll. Beim Durchlauf fiel wohl nichts so besonderes auf. Es ging sehr flott, ca. 5 Min. Eine Windows-Datei kb913800.exe wurde gelöscht.

Bis später
nie111

ComboFix 09-09-25.01 - nie 27.09.2009 20:24.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.421 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\nie\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\kb913800.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-27 bis 2009-09-27 ))))))))))))))))))))))))))))))
.

2009-09-24 13:05 . 2009-09-24 13:05 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\OpenOffice.org
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\JRE
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\OpenOffice.org 3
2009-09-23 22:51 . 2009-09-23 23:06 -------- d-----w- c:\programme\trend micro
2009-09-23 22:51 . 2009-09-23 22:51 -------- d-----w- C:\rsit
2009-09-23 21:07 . 2009-09-23 21:07 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-23 21:06 . 2009-09-23 21:07 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-23 21:06 . 2009-09-23 21:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\CCleaner
2009-09-22 14:44 . 2009-09-22 14:44 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2009-09-22 14:41 . 2009-09-22 14:41 -------- d-----w- c:\windows\system32\Lang
2009-09-22 14:39 . 2006-07-11 19:31 84096 ----a-r- c:\windows\system32\drivers\Rtnicxp.sys
2009-09-21 11:53 . 2009-09-21 11:53 -------- d-----w- C:\kk
2009-09-21 09:44 . 2009-09-21 09:44 -------- d-----w- C:\KPCMS
2009-09-21 09:44 . 1998-06-23 11:18 212480 ----a-w- c:\windows\system32\pcdlib32.dll
2009-09-21 09:44 . 1998-04-25 03:26 210944 ----a-w- c:\windows\system32\MSVCRT10.DLL
2009-09-21 09:44 . 1998-04-25 03:26 40129 ----a-w- c:\windows\iccsigs.dat
2009-09-21 09:44 . 1998-01-20 07:12 133120 ----a-w- c:\windows\sprof32.dll
2009-09-21 09:43 . 1998-06-05 09:42 197120 ----a-w- c:\windows\kpcp32.dll
2009-09-21 09:43 . 1998-04-25 03:26 58368 ----a-w- c:\windows\pfpick.dll
2009-09-21 09:43 . 1998-04-25 03:26 37376 ----a-w- c:\windows\kpsys32.dll
2009-09-21 09:43 . 1998-04-25 03:26 20992 ----a-w- c:\windows\icccodes.dll
2009-09-21 09:43 . 1998-04-25 03:26 132096 ----a-w- c:\windows\KPAPI32.DLL
2009-09-21 09:43 . 2009-09-21 09:43 -------- d-----w- c:\windows\system32\COLOR
2009-09-21 09:43 . 1997-08-15 11:20 299008 ----a-w- c:\windows\unin0407.exe
2009-09-21 09:40 . 2009-09-26 06:59 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Canon
2009-09-21 08:59 . 2009-09-21 08:59 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-09-21 08:57 . 2009-09-21 09:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-09-21 07:23 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-09-20 21:31 . 2009-09-20 21:31 -------- d-----w- c:\programme\Gemeinsame Dateien\Nero
2009-09-20 21:29 . 2004-07-09 07:43 364544 ------w- c:\windows\system32\TwnLib4.dll
2009-09-20 21:29 . 2000-06-26 09:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll
2009-09-20 21:29 . 2004-07-26 15:16 471040 ------w- c:\windows\system32\ImagXRA7.dll
2009-09-20 21:29 . 2004-07-26 15:16 262144 ------w- c:\windows\system32\ImagXR7.dll
2009-09-20 21:29 . 2004-07-26 15:16 476320 ------w- c:\windows\system32\ImagXpr7.dll
2009-09-20 21:29 . 2004-07-26 15:16 1568768 ------w- c:\windows\system32\ImagX7.dll
2009-09-20 21:29 . 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Ahead
2009-09-20 17:05 . 2009-09-20 17:05 -------- d-sh--w- c:\dokumente und einstellungen\nie\PrivacIE
2009-09-20 17:03 . 2009-09-20 17:03 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-09-20 17:02 . 2009-09-20 17:02 -------- d-sh--w- c:\dokumente und einstellungen\nie\IETldCache
2009-09-20 17:01 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-09-20 17:01 . 2009-09-20 17:01 -------- d-----w- c:\windows\ie8updates
2009-09-20 17:00 . 2009-07-19 16:41 11067392 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-09-20 17:00 . 2009-07-03 16:55 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-09-20 17:00 . 2009-07-03 16:55 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-09-20 17:00 . 2009-07-03 16:55 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-09-20 17:00 . 2009-07-03 16:55 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-09-20 17:00 . 2009-07-03 16:55 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-09-20 17:00 . 2009-09-20 17:00 -------- dc-h--w- c:\windows\ie8
2009-09-20 16:21 . 2009-09-20 17:02 -------- d-----w- c:\windows\system32\de-de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\l2schemas
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\bits
2009-09-20 14:18 . 2009-09-20 14:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SBT
2009-09-20 14:18 . 2009-09-20 15:42 -------- d-----w- c:\programme\Snapshot Viewer
2009-09-20 14:14 . 2009-09-20 21:11 -------- d-----w- c:\windows\ShellNew
2009-09-20 14:12 . 2009-09-20 14:12 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Microsoft Web Folders
2009-09-20 06:46 . 2009-09-24 22:08 -------- d-----w- C:\BJPrinter
2009-09-20 06:46 . 2004-08-16 20:00 7680 ----a-w- c:\windows\system32\CNMVS6z.DLL
2009-09-20 06:46 . 2004-08-16 20:00 116736 ----a-w- c:\windows\system32\CNMLM6z.DLL
2009-09-20 06:46 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\ScanSoft
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanWizard
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\Gemeinsame Dateien\ScanSoft Shared
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\ScanSoft
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSIF60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 110592 ----a-w- c:\windows\system32\CNCSDO60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 77824 ----a-w- c:\windows\system32\CNCSCM60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSTR60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 98304 ----a-w- c:\windows\system32\CNCSUT60.DLL
2009-09-20 06:41 . 2002-05-24 03:04 389180 ----a-w- c:\windows\system32\UCS32P.DLL
2009-09-20 06:41 . 2004-07-09 05:33 49152 ----a-w- c:\windows\system32\cncisco.dll
2009-09-20 06:41 . 2004-07-09 05:25 69632 ----a-w- c:\windows\system32\CNCL750.DLL
2009-09-20 06:41 . 2004-07-09 05:25 561152 ----a-w- c:\windows\system32\CNCC750.DLL
2009-09-20 06:41 . 2004-07-09 05:24 90112 ----a-w- c:\windows\system32\CNCI750.DLL
2009-09-20 06:41 . 2009-09-20 06:41 -------- d-----w- C:\CanonMP
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\StartHtmico
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\MP780,750
2009-09-20 06:38 . 2009-09-20 06:44 -------- d-----w- c:\programme\Canon
2009-09-20 06:34 . 1997-08-25 11:55 1045776 ------w- c:\windows\system32\msjet35.dll
2009-09-20 06:34 . 1997-01-12 22:00 37136 ------w- c:\windows\system32\Msjint35.dll
2009-09-20 06:34 . 1996-12-02 16:44 251664 ------w- c:\windows\system32\msrd2x35.dll
2009-09-20 06:34 . 1997-08-25 11:55 407312 ------w- c:\windows\system32\msrepl35.dll
2009-09-20 06:34 . 1996-12-02 16:44 24336 ------w- c:\windows\system32\msjter35.dll
2009-09-20 06:34 . 1996-11-08 00:48 368912 ------w- c:\windows\system32\vbar332.dll
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\programme\ODBC-DAO-RDO
2009-09-20 06:34 . 1996-12-04 22:00 77824 ------w- c:\windows\system32\Odbctl32.dll
2009-09-20 06:34 . 1998-01-23 10:22 304128 ----a-w- c:\windows\IsUninst.exe
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\dokumente und einstellungen\nie\WINDOWS
2009-09-20 06:33 . 2009-09-20 06:49 -------- d-----w- c:\programme\Top25 V1
2009-09-20 06:33 . 1998-11-17 12:44 328704 ----a-w- c:\windows\IsUn0407.exe
2009-09-19 19:02 . 2009-09-23 15:52 -------- d-----w- C:\wiederherstellung
2009-09-19 18:26 . 2009-09-19 18:26 971168 ----a-w- c:\windows\system32\drivers\tdrpm140.sys
2009-09-19 18:26 . 2009-09-19 18:26 540000 ----a-w- c:\windows\system32\drivers\timntr.sys
2009-09-19 18:26 . 2009-09-19 18:26 44704 ----a-w- c:\windows\system32\drivers\tifsfilt.sys
2009-09-19 18:26 . 2009-09-19 18:26 134272 ----a-w- c:\windows\system32\drivers\snman380.sys
2009-09-19 18:26 . 2009-09-19 19:24 -------- d-----w- c:\programme\Acronis
2009-09-19 18:26 . 2009-09-19 18:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Acronis
2009-09-19 18:05 . 2009-09-27 18:18 65800 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\MSBuild
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\Reference Assemblies
2009-09-19 16:52 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-19 16:52 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-19 16:52 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-09-19 16:52 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-09-19 16:50 . 2009-09-19 16:50 -------- d-----w- c:\programme\MSXML 6.0
2009-09-18 17:20 . 2009-09-18 17:20 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-09-18 17:20 . 2009-09-27 17:24 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\skypePM
2009-09-18 17:19 . 2009-09-27 17:57 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Skype
2009-09-18 17:17 . 2009-09-18 17:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-09-18 17:17 . 2009-09-18 17:17 -------- d-----r- c:\programme\Skype
2009-09-18 17:17 . 2009-09-18 17:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-09-18 10:31 . 2009-09-18 10:31 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\Opera

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-24 12:59 . 2009-09-18 05:20 -------- d-----w- c:\programme\Java
2009-09-22 14:45 . 2004-08-10 19:00 84478 ----a-w- c:\windows\system32\perfc007.dat
2009-09-22 14:45 . 2004-08-10 19:00 459096 ----a-w- c:\windows\system32\perfh007.dat
2009-09-20 14:17 . 2009-09-18 05:23 -------- d-----w- c:\programme\microsoft frontpage
2009-09-18 05:40 . 2009-09-18 05:40 136 ----a-w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-09-18 05:20 . 2009-09-18 05:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2009-09-18 05:15 . 2009-09-18 05:15 -------- d-----w- c:\programme\Online-Dienste
2009-09-18 05:14 . 2009-09-18 05:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-09-18 05:13 . 2009-09-18 05:13 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-09-18 05:12 . 2009-09-18 05:12 -------- d-----w- c:\programme\Windows Plus
2009-09-17 23:35 . 2009-09-17 23:35 9388 ----a-w- c:\windows\system32\drivers\iaStor.PNF
2009-09-17 23:35 . 2009-09-17 23:35 7280 ----a-w- c:\windows\system32\drivers\viamraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 6984 ----a-w- c:\windows\system32\drivers\SiSRaid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 63240 ----a-w- c:\windows\system32\drivers\Si3112r.PNF
2009-09-17 23:35 . 2009-09-17 23:35 20152 ----a-w- c:\windows\system32\drivers\INFCACHE.1
2009-09-17 23:35 . 2009-09-17 23:35 12432 ----a-w- c:\windows\system32\drivers\adpu320.PNF
2009-09-17 23:35 . 2009-09-17 23:35 12204 ----a-w- c:\windows\system32\drivers\nvraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 10828 ----a-w- c:\windows\system32\drivers\iaAHCI.PNF
2009-08-05 08:59 . 2004-08-10 19:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 04:34 . 2004-08-10 19:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:34 . 2004-08-10 19:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-17 19:01 . 2004-08-10 19:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2004-08-10 19:00 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2004-08-10 19:00 915456 ----a-w- c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-09-02 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"OPSE reminder"="c:\programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" [2003-07-07 729088]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-24 149280]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-08-23 16050688]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\nie\Startmen�\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 snapman380;Acronis Snapshots Manager (Build 380);c:\windows\system32\drivers\snman380.sys [19.09.2009 20:26 134272]
R0 tdrpman140;Acronis Try&Decide and Restore Points filter (build 140);c:\windows\system32\drivers\tdrpm140.sys [19.09.2009 20:26 971168]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.09.2009 08:02 108289]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-27 20:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(840)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-09-27 20:27
ComboFix-quarantined-files.txt 2009-09-27 18:27

Vor Suchlauf: 9 Verzeichnis(se), 254.944.428.032 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 254.990.254.080 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect /usepmtimer

249 --- E O F --- 2009-09-21 07:50

Zitat:

Da der Virus erstmal restlos weg sein sollte, dazu das cofi-Protokoll.

Er ist tatsächlich komplett weg. Viele Entfernungsprogramme löschen nur die Dateien und lassen die ganzen Regeinträge stehen.

Bei dir sind nur einige gesperrte Regeinträge zu sehen. Script bastel ich dir, sobald die Scanner durch sind.

1.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas