hey, ich die gefixt und gelöscht, csi hat gescannt und gemeldet der alles clean ist. hab danach nochmal im abgesicherten modus mit malwarebytes gescannt, aber es war dennoch drin.  :'(

Ich will mich ja nicht einmischen aber
Erstens:MBAM niemals im Abgesicherten Modus laufen lassen --->zeig mir mal ne Anleitung wo das drinnen steht
Zweitens:

Unbekannt ... ?? dann fixen und löschen.

mit LÖSCHEN war der gemeint ....

c:\users\mama\appdata\local\koqikmq.exe

Hochladen wie vorgeschlagen ist auch OK !!

http://virusscan.jotti.org/de/

also ich habs jetzt mit www.jotti.org
gescannt. hier das ergebnis.
 
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file.

scheinbar habe ich doch alle drei gelöscht, kein blassen schimmer, werd ja sehen ob das morgen wieder drin ist. und im abgesicherten modus habe ich nur den rat befolgt es so zu machen.

mal andere frage:
Datensicherung ist aber vor irgendwelchen aktionen gemacht worden? wenn nein,dann nachholen.System würde ich neuinstalieren,auch wenn gleich wieder alle auf mich einschlagen.

nee, datensicherung habe ich natürlich net gemacht (wurde mir ja nicht empfohlen)und eine neuinstallierung mache ich net schon wieder, die habe ich erst vor kurzen machen müssen als der explorer wegen adobe flash player dauernd gesponnen hat.

Oh Gott jetzt ist schon wieder ne neue Datei infiziert. Was soll ich bloß noch tun??

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1876
Windows 6.0.6001 Service Pack 1

20.03.2009 12:22:11
mbam-log-2009-03-20 (12-22-11).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 148040
Laufzeit: 1 hour(s), 31 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\MSVolume.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
 

DANN frag dich endlich mal, WO DIE HERKOMMEN !

System Updaten auf neuesten Stand , AV-Prog aktualisieren , ggf Router mit FW einsetzen .

Dateiendungen anzeigen lassen ,damit Du auch xxx.pdf.EXE erkennst .

Combofix downloaden -> Ausführen -> Logfile posten.

updates und av ist auf dem neuesten stand. sorry, aber was ist combofix??

Kennst doch sicher google oder ??

http://virus-protect.org/artikel/tools/combofix.html

hallo, die malware um die es sich hier handelt heißt navipromo.

http://virus-protect.org/artikel/tools/navilog.html
laden, rechtsklick als administrator ausfüren wählen, programm ausfüren, die option 1 und das log posten.
wenn dein antivirenprogramm meckert, schalte es ab, ist ein fehlalarm.

Search for Navipromo version 3.7.6 started on 20.03.2009 at 16:32:34,11

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report at the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!



*** Search folders in "C:\Windows" ***

Please wait

Search finished


*** Search folders in "C:\Program Files" ***

Please wait

Search finished


*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***

Please wait

Search finished


*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***

Please wait

Search finished


*** Search folders in "C:\ProgramData" ***

Please wait

Search finished


*** Search folders in "c:\users\mama\appdata\roaming\micros~1\windows\startm~1\p
rograms" ***

Please wait


*** Search folders in "C:\Users\Mama\AppData\Local\virtualstore\Program Files" *
**

Please wait

Search finished


*** Search folders in "C:\Users\Mama\AppData\Local" ***

Please wait

Search finished


*** Search folders in "C:\Users\Mama\AppData\Roaming" ***

Please wait

Search finished


*** Search with Catchme by gmer ***
for more info : http://www.gmer.net

Please wait ... The scan may take a few minutes ...

 

das war doch noch net ganz fertig oder?
füre option 1 noch mal  durch, diesmal bis zum ende.
danach füre wie oben geschrieben combofix aus, bitte auch als administrator ausfüren wählen. combofix mit rettungskonsole instalieren.
danach ein hijackthis-log das programm auch als administrator ausfüren, sonst bekommt man keine ordentlichen logs.

 das müsste alles gewesen sein. Oder??

Search Navipromo version 3.7.6 began on 20.03.2009 at 16:50:05,92

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Home Premium  ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU          4300  @ 1.80GHz )
BIOS : BIOS Date: 08/20/07 15:50:42 Ver: 08.00.10
USER : Mama ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:232 Go (Free:202 Go)
D:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)


Search done in normal mode