Hi Arne, sorry, hatte einen Monat keinen IE Zugang

Hab nun die Sache mit dem ComboFix erlädischt, was muss ich jetzt machen? Hier der Inhalt des Logfiles:

ComboFix 10-02-22.07 - Janna 23.02.2010 16:05:44.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.271 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Eigene Dateien\Downloads\cofi.exe.exe
FW: Personal Firewall Plus *enabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\***\Favoriten\Videos.url
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\tbfedi.dat
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\tbfedi.exe
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\tbfedi_navps.dat
c:\windows\system32\pthreadVC.dll
c:\windows\system32\Thumbs.db

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Legacy_MYWEBSEARCHSERVICE
-------\Legacy_NPF
-------\Service_Boonty Games
-------\Service_MyWebSearchService


((((((((((((((((((((((( Dateien erstellt von 2010-01-23 bis 2010-02-23 ))))))))))))))))))))))))))))))
.

2010-02-04 12:49 . 2010-02-04 13:04 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PCPitstop
2010-02-04 12:49 . 2010-02-04 15:33 -------- d-----w- c:\programme\PCPitstop

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-21 16:04 . 2010-01-21 16:03 -------- d-----w- c:\programme\pdf24
2010-01-16 15:43 . 2010-01-16 15:43 -------- dc----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2008-10-27 09:57 . 2008-12-15 09:11 76 -c--a-w- c:\programme\MTP_2-1.cue
2008-10-02 19:17 . 2008-12-15 21:07 5500000 -c--a-w- c:\programme\Read me.txt
2007-08-19 19:15 . 2008-12-15 21:07 1074832 -c--a-w- c:\programme\KGB_Archiever_win_gui_v1.2.0.23.exe
2004-02-27 19:35 . 2008-12-15 21:07 29 -c--a-w- c:\programme\Serial.txt
2006-08-16 19:58 . 2006-08-16 19:58 8192 -csha-w- c:\windows\o2cLicStore.bin
2009-03-21 14:06 . 2004-08-04 12:00 169043 --sha-r- c:\windows\system32\dkvrjb.dll
.

------- Sigcheck -------

[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys
[-] 2004-08-03 21:59 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2}"= "c:\programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL" [2008-09-19 66912]

[HKEY_CLASSES_ROOT\clsid\{0579b4b6-0293-4d73-b02d-5ebb0ba0f0a2}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}]
2008-09-19 18:05 66912 ----a-w- c:\programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MCAgentExe"="c:\progra~1\mcafee.com\agent\mcagent.exe" [2005-09-22 303104]
"MCUpdateExe"="c:\progra~1\mcafee.com\agent\McUpdate.exe" [2006-01-11 212992]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-07-25 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-07-25 618496]
"MPFExe"="c:\progra~1\McAfee.com\PERSON~1\MpfTray.exe" [2004-06-11 1380352]
"ShStatEXE"="c:\programme\Network Associates\VirusScan\SHSTAT.EXE" [2004-08-25 94208]
"McAfeeUpdaterUI"="c:\programme\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"Network Associates Error Reporting Service"="c:\programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-07-17 339968]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2004-08-06 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2004-07-26 49152]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2004-07-26 204800]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2004-08-06 73728]
"VX3000"="c:\windows\vVX3000.exe" [2007-04-10 709992]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 65024]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-04-27 282624]
"PDFPrint"="c:\programme\pdf24\pdf24.exe" [2009-12-15 207504]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2004-12-26 212992]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4035:TCP"= 4035:TCP:annwt

R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [26.11.2004 10:22 160640]
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [26.11.2004 10:22 5248]
R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [14.10.2005 23:17 58016]
S2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe --> c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [?]
S2 vnyqn;Shell Time;c:\windows\system32\svchost.exe -k netsvcs [04.08.2004 13:00 14336]
S3 iblnbtccj;iblnbtccj;\??\c:\windows\system32\01.tmp --> c:\windows\system32\01.tmp [?]
S3 lcmjgpb;lcmjgpb;\??\c:\windows\system32\02.tmp --> c:\windows\system32\02.tmp [?]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [27.03.2007 20:36 17152]
S3 nenum13E;nenum13E;\??\c:\dokume~1\***\LOKALE~1\Temp\nenum13E.sys --> c:\dokume~1\***\LOKALE~1\Temp\nenum13E.sys [?]
S3 nhycgcg;nhycgcg;\??\c:\windows\system32\02.tmp --> c:\windows\system32\02.tmp [?]
S3 sflwvgnoq;sflwvgnoq;\??\c:\windows\system32\01.tmp --> c:\windows\system32\01.tmp [?]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
S3 VT001VID;VT VT001 Camera;c:\windows\system32\DRIVERS\VT001Vid.sys --> c:\windows\system32\DRIVERS\VT001Vid.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
vnyqn
.
Inhalt des "geplante Tasks" Ordners

2010-02-19 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2004\SystemOptimizer.exe [2004-03-02 10:53]

2010-02-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/wdgt3/*http://www.yahoo.com/ext/search/search.html
IE: &Search
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
DPF: {070DC617-E3B7-468B-A29C-D4E84FAE938C} - hxxp://utilities.pcpitstop.com/Nirvana/controls/pcmatic.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0q0so9tb.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0q0so9tb.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0q0so9tb.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0q0so9tb.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPAskSBr.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CIDFE0BD779-44EE-4A4B-AA2E-743C63F2E5E6", "AllAccess");
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CIDFE0BD779-44EE-4A4B-AA2E-743C63F2E5E6", "AllAccess");
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file)
HKCU-Run-tbfedi - c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\tbfedi.exe
AddRemove-tbfedi - c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\tbfedi.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-23 16:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x82DBAC48]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf8710f28
\Driver\ACPI -> ACPI.sys @ 0xf863acb8
\Driver\atapi -> 0x82dbac48
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a8
ParseProcedure -> ntoskrnl.exe @ 0x8056c1d6
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a8
ParseProcedure -> ntoskrnl.exe @ 0x8056c1d6
NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf84c8bb0
PacketIndicateHandler -> NDIS.sys @ 0xf84b7a0d
SendHandler -> NDIS.sys @ 0xf84cbb40
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iblnbtccj]
"ImagePath"="\??\c:\windows\system32\01.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lcmjgpb]
"ImagePath"="\??\c:\windows\system32\02.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nhycgcg]
"ImagePath"="\??\c:\windows\system32\02.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sflwvgnoq]
"ImagePath"="\??\c:\windows\system32\01.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vnyqn]
"ServiceDll"="c:\windows\system32\dkvrjb.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG06.00.00.01WORKSTATION"="3ADCFCBD1D4D6E5F949A24B919451B1CA3FE2419AC7B8D53EDFC022BD2CE302AD28F7D23A263F2497208A4CEB6FEBC9E127BECC74CFEBC9E127B ECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667FEBC9E127BECC74CA9C6AECB7A5D1407A2D97226D213B555F1DD950E503D73BE A41915F7E54DEC1880AA6ECAAC190A151C871C1975944B92B4FB1837DD15A46E1683711FA06727F4CA2397E7B40107E122E20B4D30B469ED88CCD4C391FE816B25804C21416409F7D25530 D2F5D4F8B8630E139F5A2B1FAA35988E898FB67DFE96634DA6F65578897A3E68214D9ED9C3FB4E86B99B1C1FD4368DDCDE6D179E35636273D66271F159D63C3F6D8B8F3AF2BFCA8A449052 2FBEB93E2BA334257FE0B7988D601D14845933930DD773FA3E7934119BF14AB9A579A49D3A3563844E17738241F4B0BCD3BE0B6AFA823D599F4D959088F34F6372DF0F071D79EA804C30AC 0507CA1D0D178491CC85931546A82AD09EF2821704178C4236BCD9B386D0C92BE32C1AD44C98E7AB2A7F361C013B100972525A90F4A6DF40CED3C2952846456A4C5122BE65B86CF1560F19 E56ECAC1142971BA9AB2CB7EBBD3F1A35F1CAAC61DCA6A23B5E76A57B2872D6E789660C5FD43EEE60BDDC3509AB0FA72D23B90382651C0E3898635B2EF5BA86C52A4186804263EA5AA3DDF 817AB1A72727049C469D3871ADFC1734CC5ECE21CE6268A0371918A44537B684022A0903BE05180C6351B8ECCDC6159538E7C58FD30D56BF86E3C5BD1361D8AC06AD4B6D3A0ABD2A43C171 781692A01FCBAA09BABDA906CDED3FC1F8E2CD556406BBF1999D495EDADFA3E4AB5C7EFAA59FF642425405B4374738FE980D967FCC3E405A90F0C8889375DDF874F89E0C1693D20396E15F BF7B3293D4B3EC47D11CAED9462D43826EDF868E7893CC785D6DC878BCFEB26C2CAE12C502B3E2E1E61B1ADD5B9FA163E4DCD785131DB6889F422654C6141D5323F90D7A2559D15B82A68A 52226AA44F653D71C658FA1C3D2539D4885E4475B06E1911104236A19C87304C730AE7E01B90C7A00DC0E8E87A6310446BA1D0979500DC4A19C3313E02003DED3161C1F611A5D5F742A677 8816F793260593D0E083E9A9AC5BF404965E96E745AD6079856F0BD64C88C60CEEDA9FA670139CAC35F5E5F5EFD186409EF31F5C69C11E6130E74B4BB53445DF0F893EC35D0787A1F9D5CE 51102C0C46CE7F8D5BB6781AA0A12094CA924DA8FE64D25A73EA0804C21B0524D8C94BFECDA12AF93CCC91B33506B3B60083105AC96C5F9ED65BED25F506D60A42A147BAE1179723669000 B2EC8D2FAA286C6EA87629CA5A9FB4C7E274AE94C8D5DFE881E0B2DB67D7AA6CBE6DEC940816F88BC68C1EA281164154194C8B78CC6F8DAFF4FDFC7FCCA10631652D"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3420)
c:\windows\system32\msls31.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Network Associates\Common Framework\FrameworkService.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\programme\Network Associates\VirusScan\Mcshield.exe
c:\programme\Network Associates\VirusScan\VsTskMgr.exe
c:\progra~1\mcafee.com\agent\mctskshd.exe
c:\progra~1\NETWOR~1\COMMON~1\naPrdMgr.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\progra~1\McAfee.com\PERSON~1\MPFSERVICE.exe
c:\windows\system32\oodag.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\System32\PAStiSvc.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\SOUNDMAN.EXE
c:\progra~1\McAfee.com\PERSON~1\MpfAgent.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-02-23 16:28:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-02-23 15:28

Vor Suchlauf: 8.289.984.512 Bytes frei
Nach Suchlauf: 8.204.148.736 Bytes frei

- - End Of File - - 78857C97D21710C055DD17C43492D65E

Ich denke da ist noch ein Rootkit aktiv.

Lad Dir diese saubere atapi.sys (von meinem WinXP-Rechner) am besten direkt herunter auf c:, danach müssen wir so ran:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1
6. Benenne auf sda1 die Datei /windows/system32/drivers/atapi.sys um in atapi.bad
7. kopiere die saubere atapi.sys nach system32/drivers (da wo die atapi.bad auch ist)
8. Starte den Rechner neu und boote Windows
9. Die in Linux umbenannte Datei atapi.bad bei Virustotal.com auswerten lassen und Ergebnislink posten
10. Probier einen Durchlauf mit GMER und poste das Log
11. Mach auch noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

Oh menu bin grad total mit Punkt 3 überfordert (

Bedeutet das, dass ich mein PC neustarten soll, F8 drücken bis das Bootmenü aufgeht um dann dort unter Option 1 die gebrannte CD starten zu können? Damit dann mein Rechner kurzzeitig über Linux startet?

Hab ich das richtig verstanden?

Und, Punkt 5: mounte die partition, was heisst das?

Danke schon mal für die Aufklärung

Nein, Du musst ins Bootmenü (vom BIOS) um von der CD zu booten. Meinstens ganz am Anfang wenn Du den Rechner angemacht hast mit F11. Oder Du gehst ins BIOS und stellst das CDROM Laufwerk als 1. Bootlaufwerk vor der Festplatte ein.

Punkt 5 ist selbsterklärend wenn Du soweit bist.

Nun war ich im BIOS (F2 Taste bei mir) dort bin ich unter der 5. Lasche (Boot) gegangen. Hier hatte ich folgendes stehen:

Optical Drive
Removable Devices
+Hard Drive

auf der rechten Seite steht: Keys used to view or configure devices:
(Enter) expands or collapses devices with a + or - (F6) and (F5) moves the device up or down.

Welches von den dreien soll ich nach oben schieben, ich habe hier noch nie was geändert, eingestellt oder ähnliches bin etwas ängstlich.

Hm, die optischen Laufwerke stehen schon ganz oben. Optische Laufwerke sind CD/DVD-Laufwerke bzw -Brenner.
Hast Du die Linux-CD denn auch richtig gebrannt? Du musst es per Imagebrennfunktion brennen, sonst kannst Du von dieser CD nicht booten. Welche Brennsoftware hast Du unter Windows?

Ich hatte kein ImgBurn und habe die Software von Chip.de gedownloaded..., habe die Imagedatei auf eine CD gebrannt...aber ich sehe auf der CD nicht, dass sie gebrannt wurde, sie sieht aus wie vorher. Die Imagedatei habe ich heruntergeladen und auf mein Desktop gespeichert. Danach habe ich die Datei auf die CD gebrannt und anschließend über BIOS in den Booteigenschaften gegangen...

Ich versuche morgen die Datei auf einer anderen CD zu brennen. Ansonsten habe ich Alcohol auf dem Laptop, kann man die Datei damit auch brennen und wenn ja, was soll ich tun?

LG

Alcohol kann das brennen. Du darfst aber eben nicht einfach die Datei draufbrennen, Du musst die Imagebrennfunktionen benutzen, um das ISO-Abbild auf die CD zu bringen. Gibt doch dutzende Anleitungen im Internet > Mit ImgBurn ISO-Datei auf CD/DVD brennen - COMPUTER BILD

ich hab alles wieder neu gemacht, auch nach Anleitung...wie davor auch, aber nun erscheint die Fehlermeldung, dass die Imagedatei nicht gebrannt werden konnte weil sie anscheinend zu groß sei . Die CD hat 700 MB und ist/war neu. Da die Datei 90MB nur haben soll versuche ich es morgen mit einer DVD, wenn das geht.

Gute Nacht!

Dann läuft da irgendwas falsch. Brenner kaputt? Auf eine CD sollte das definitiv passen. Bevor Du x Rohling verbrennst, probierst Du das am besten mit einer CDRW aus.