Trojaner-Board - Bitte mal Logfile prüfen EVtl Winfixer

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte mal Logfile prüfen EVtl Winfixer (https://www.trojaner-board.de/51148-bitte-mal-logfile-pruefen-evtl-winfixer.html)

Bitte mal Logfile prüfen EVtl Winfixer

hallo zusammen

könntet ihr mal das nachfolgende logfile prüfen
bin auf dem computer einer kollegin daher das vnc drauf . hatte heute schonmal smitfraudfix laufen lassen direkt vorort per safemode und stelle auch logfiles zur verfügung.
wäre toll wenn wer helfen könnte.

Logfile of HijackThis v1.99.1
Scan saved at 18:23:58, on 28.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\sysrswva.exe
C:\WINDOWS\sysjcyrq.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\LVComS.exe
C:\Programme\No-IP\DUC20.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis_199\ABC.exe

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar5.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar5.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [{42562052-EE17-4197-82C7-91CB2E4B0666}] "C:\WINDOWS\sysrswva.exe"
O4 - HKLM\..\Run: [{B3B48B54-C0EC-4705-8EE8-1981AEF656A7}] "C:\WINDOWS\sysjcyrq.exe"
O4 - HKLM\..\Run: [{C2220120-1C24-4a79-BA7A-DDCBFC209DB3}] "C:\WINDOWS\sysfbdgv.exe"
O4 - HKLM\..\Run: [{C599792D-C6D9-461d-93CA-B48BFF8E37B1}] "C:\WINDOWS\sysfdyev.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Worms2.exe] D:\Backup\Spiele\WORMS2~1.EXE /r
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: No-IP DUC.lnk = C:\Programme\No-IP\DUC20.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125665946562
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146229422796
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

rapport-1 smitfraudfix

SmitFraudFix v2.309

Scan done at 13:56:53,90, 28.03.2008
Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\sysrswva.exe
C:\WINDOWS\sysjcyrq.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\No-IP\DUC20.exe
C:\WINDOWS\system32\LVComS.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Marlene

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Marlene\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Marlene\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA Networking Velocity Family Giga-bit Ethernet Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{216829CB-1C14-449B-9B32-06F79DEE7FCA}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{216829CB-1C14-449B-9B32-06F79DEE7FCA}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{216829CB-1C14-449B-9B32-06F79DEE7FCA}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

rapport-2

SmitFraudFix v2.309

Scan done at 14:02:24,60, 28.03.2008
Run from C:\Dokumente und Einstellungen\Marlene\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{216829CB-1C14-449B-9B32-06F79DEE7FCA}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{216829CB-1C14-449B-9B32-06F79DEE7FCA}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{216829CB-1C14-449B-9B32-06F79DEE7FCA}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Vielen Dank im voraus

Hallo stephan1970 und Willkommen!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick bekommen, auf dem System ist ein Exploit ersichtlich!

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\sysrswva.exe
C:\WINDOWS\sysjcyrq.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

CCleaner

Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.

Gehe auf den Button links oben "Cleaner", setze Häkchen unter Reiter "Windows"
(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").

Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".

ComboFix

-Lade dir das Tool hier herunter -> KLICK

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix

habe nun ein neues logfile nachdem ich malewarebytes drüberlaufen habe lassen

Logfile of HijackThis v1.99.1
Scan saved at 19:25:37, on 28.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\LVComS.exe
C:\Programme\No-IP\DUC20.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Marlene\Desktop\hijackthis_199\ABC.exe

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar5.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar5.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Worms2.exe] D:\Backup\Spiele\WORMS2~1.EXE /r
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: No-IP DUC.lnk = C:\Programme\No-IP\DUC20.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125665946562
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146229422796
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Malwarebytes scheint alles gelöscht zu haben, schau mal bitte nach ob du den Report davon noch finden kannst.
Es erforderlich zu wissen was, wann, wo gelöscht wurde. ;)

Ansonsten kannst du den Teil mit Virustotal überspringen und zu crapcleaner und combofix übergehen. Vielleicht steckt ja noch mehr im System. ;)

Malwarebytes' Anti-Malware 1.09
Datenbank Version: 560

Scan Art: Schnell Scan
Objekte gescannt: 27651
Scan Dauer: 4 minute(s), 46 second(s)

Infizierte Speicher Prozesse: 2
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 4
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicher Prozesse:
c:\WINDOWS\sysrswva.exe (Trojan.FakeAlert) -> Unloaded process successfully.
c:\WINDOWS\sysjcyrq.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{42562052-EE17-4197-82C7-91CB2E4B0666} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{B3B48B54-C0EC-4705-8EE8-1981AEF656A7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{c2220120-1c24-4a79-ba7a-ddcbfc209db3} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{C599792D-C6D9-461d-93CA-B48BFF8E37B1} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\sysrswva.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\sysjcyrq.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\gwgzcy.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\gvwjxr.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\gntkqu.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\gmucjk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Ich gehe davon aus das du gerade CCleaner und Combofix anwendest, oder?!
Denn darauf warte ich noch.. ;)

ANALYSE komplett - (51.210 Sek)
------------------------------------------------------------------------------------------
3,98MB zu entfernen. (Ungefähre Größe)
------------------------------------------------------------------------------------------

Details der zu löschenden Dateien (Hinweis: Es wurden noch keine Dateien gelöscht)
------------------------------------------------------------------------------------------
IE Temporären Internetdateien (603 Dateien) 3,90MB
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@adlegend[1].txt 80 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@atdmt[1].txt 97 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@c.msn[1].txt 67 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@chip[1].txt 105 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@doubleclick[1].txt 83 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@expedia[1].txt 107 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@forums.devshed[1].txt 533 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@google[1].txt 130 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@hijackthis[2].txt 280 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@intellitxt[1].txt 106 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@ivwbox[2].txt 82 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@liutilities[1].txt 349 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@live[1].txt 333 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@messenger.msn[1].txt 96 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@msnportal.112.2o7[1].txt 118 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@msn[1].txt 742 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@overture[1].txt 536 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@pctools[2].txt 436 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@php.sales.tfag[1].txt 87 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@rad.msn[2].txt 680 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@sales.tfag[1].txt 226 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@specificclick[1].txt 437 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@spywareinfo[2].txt 267 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@www.chip[1].txt 226 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@www.liutilities[2].txt 234 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@www.msn[2].txt 613 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@www.virustotal[1].txt 77 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@yahoo[1].txt 164 Byte
C:\Dokumente und Einstellungen\Marlene\Cookies\marlene@zeus.developershed[1].txt 128 Byte
Zum Löschen markiert: C:\Dokumente und Einstellungen\Marlene\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Zum Löschen markiert: C:\Dokumente und Einstellungen\Marlene\Cookies\index.dat
C:\WINDOWS\system32\wbem\Logs\FrameWork.log 349 Byte
C:\WINDOWS\system32\wbem\Logs\wbemess.log 59,33KB
C:\WINDOWS\system32\wbem\Logs\wbemprox.log 100 Byte
C:\WINDOWS\system32\wbem\Logs\wmiprov.log 582 Byte
C:\WINDOWS\0.log 0 Byte
C:\WINDOWS\Debug\UserMode\userenv.log 7,37KB
Entfernte Cookies: ccleaner.com
Entfernte Cookies: tribalfusion.com
Entfernte Cookies: trojaner-board.de
Entfernte Cookies: qvc.de
Entfernte Cookies: google.com
Entfernte Cookies: data.qvc.de
Entfernte Cookies: google.de
Entfernte Cookies: bild.de
Entfernte Cookies: www.bild.de
Entfernte Cookies: adtech.de
Entfernte Cookies: nuggad.net
Entfernte Cookies: ivwbox.de
Entfernte Cookies: mozilla.com
Entfernte Cookies: www.chip.de
Entfernte Cookies: chip.de
Entfernte Cookies: liutilities.com
Entfernte Cookies: www.virustotal.com
Entfernte Cookies: pctools.com
Entfernte Cookies: hijackthis.de
Entfernte Cookies: adlegend.com
Entfernte Cookies: sales.tfag.de
Entfernte Cookies: rad.msn.com
Entfernte Cookies: expedia.com
Entfernte Cookies: spywareinfo.com
Entfernte Cookies: atdmt.com
Entfernte Cookies: doubleclick.net
Entfernte Cookies: msnportal.112.2o7.net
Entfernte Cookies: msn.com
Entfernte Cookies: forums.devshed.com
Entfernte Cookies: specificclick.net
Entfernte Cookies: yahoo.com
Entfernte Cookies: overture.com
Entfernte Cookies: live.com
Entfernte Cookies: intellitxt.com
Entfernte Cookies: www.msn.com
Entfernte Cookies: www.liutilities.com
Entfernte Cookies: php.sales.tfag.de
Entfernte Cookies: c.msn.com
C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Mozilla\Firefox\Profiles\e7nt6r4g.default\downloads.rdf 1,10KB
Der Firefox/Mozilla Internet-Cache wurde übersprungen.
C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\YMRDQJWH\www.chip.de\ChipVideo_data.sol 82 Byte
C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.chip.de\settings.sol 81 Byte
C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol 434 Byte
------------------------------------------------------------------------------------------

ComboFix 08-03-27.1 - Marlene 2008-03-28 20:34:14.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.78 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Marlene\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-28 ))))))))))))))))))))))))))))))
.

2008-03-28 20:20 . 2008-03-28 20:20 <DIR> d-------- C:\Programme\CCleaner
2008-03-28 19:54 . 2008-03-28 19:54 1,142 --a------ C:\WINDOWS\mozver.dat
2008-03-28 19:42 . 2008-03-28 19:42 0 --a------ C:\WINDOWS\nsreg.dat
2008-03-28 19:13 . 2008-03-28 19:13 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-28 19:13 . 2008-03-28 19:13 <DIR> d-------- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Malwarebytes
2008-03-28 19:13 . 2008-03-28 19:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-28 15:09 . 2008-03-28 15:09 <DIR> d-------- C:\Programme\XoftSpySE
2008-03-28 15:09 . 2008-03-28 15:09 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-28 14:54 . 2008-03-28 15:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-03-28 14:47 . 2008-03-28 15:09 <DIR> d-------- C:\Programme\Yahoo!
2008-03-28 13:53 . 2008-03-28 15:09 <DIR> d-------- C:\xxx
2008-03-25 21:21 . 2008-03-25 21:21 <DIR> d-------- C:\Programme\Enigma Software Group
2008-03-25 20:20 . 2008-03-28 14:02 2,784 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-05 20:01 . 2008-03-05 20:02 <DIR> d-------- C:\Programme\Windows Live
2008-03-05 20:01 . 2008-03-05 20:01 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-05 20:01 . 2008-03-05 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-03-05 19:30 . 2008-03-12 19:59 <DIR> d-------- C:\Programme\StarMoney 6.0 S-Edition

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-05 19:02 --------- d-----w C:\Programme\MSN Messenger
2008-03-05 18:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-05 18:47 --------- d-----w C:\Programme\StarMoney 5.0 S-Edition
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"Worms2.exe"="D:\Backup\Spiele\WORMS2~1.exe" [ ]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-16 18:01 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-07-20 20:07 7110656]
"nwiz"="nwiz.exe" [2005-07-20 20:07 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-07-20 20:07 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2004-02-12 15:57 188416]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2004-02-12 15:59 77824]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-16 19:13 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

C:\Dokumente und Einstellungen\Marlene\Startmen\Programme\Autostart\
No-IP DUC.lnk - C:\Programme\No-IP\DUC20.exe [2006-04-28 13:45:53 1172992]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26 29696]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\RealVNC\\VNC4\\vncconfig.exe"=
"C:\\Programme\\RealVNC\\VNC4\\winvnc4.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"5900:TCP"= 5900:TCP:VNC
"5800:TCP"= 5800:TCP:VNC Http
"5800:UDP"= 5800:UDP:VNC Http UDP
"5900:UDP"= 5900:UDP:VNC UDP

R3 GETNDIS;VIA Networking Velocity Family Giga-bit Ethernet Adapter Driver;C:\WINDOWS\system32\DRIVERS\getnd5b.sys [2003-09-02 11:22]
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []
S3 TNPacket;T-Systems Nova Packet Capture Driver;C:\Programme\T-DSL SpeedManager\TNPACKET.SYS [2004-03-11 16:44]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-28 13:47:17 C:\WINDOWS\Tasks\At1.job"
- C:\DOKUME~1\Marlene\Desktop\Look2Me-Destroyer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-28 20:36:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-28 20:37:27
ComboFix-quarantined-files.txt 2008-03-28 19:37:17
7 Verzeichnis(se), 33,279,045,632 Bytes frei
10 Verzeichnis(se), 33,269,145,600 Bytes frei
.
2008-02-27 18:27:04 --- E O F ---

Meiner Ansicht nach ist nichts mehr ersichtlich, Malwarebytes hat alles entfernt. ;)

Gute Arbeit ... :daumenhoc