Du hast das mit der rules.ref schon aus einem anderen Thread gesehen, kann das sein?


Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hi Arne,

hoffe, Du hattest einen guten Tag? Hier das Combofix-Log:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-06-21.05 - *** 21.06.2011  21:45:27.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1013.669 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\***\Desktop\Windows XP Repair.lnk
c:\dokumente und einstellungen\***\Startmenü\Programme\Windows XP Repair
c:\dokumente und einstellungen\***\Startmenü\Programme\Windows XP Repair\Uninstall Windows XP Repair.lnk
c:\dokumente und einstellungen\***\Startmenü\Programme\Windows XP Repair\Windows XP Repair.lnk
.
Infizierte Kopie von c:\windows\system32\drivers\volsnap.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_usnjsvc
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-21 bis 2011-06-21  ))))))))))))))))))))))))))))))
.
.
2011-06-21 19:36 . 2011-06-21 19:39	--------	d-----w-	C:\cofi
2011-06-20 17:06 . 2011-05-29 07:11	39984	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-06-18 18:27 . 2011-06-18 18:27	--------	d--h--w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2011-06-18 18:26 . 2011-06-18 18:26	--------	d--h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-06-18 12:49 . 2011-06-18 12:49	--------	d--h--w-	c:\dokumente und einstellungen\***\Anwendungsdaten\AVG10
2011-06-18 12:44 . 2011-06-18 18:22	--------	d--h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG10
2011-06-18 12:43 . 2011-06-18 12:43	--------	d--h--w-	c:\programme\AVG
2011-06-18 12:40 . 2011-06-18 12:40	--------	d--h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Common Files
2011-06-18 12:39 . 2011-06-18 18:21	--------	d--h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MFAData
2011-06-08 18:36 . 2011-06-08 18:36	--------	d--h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype Extras
2011-06-08 18:27 . 2011-06-08 18:27	--------	d--h--w-	c:\programme\Gemeinsame Dateien\Skype
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-14 17:40 . 2009-06-08 17:28	141389	---h--w-	c:\dokumente und einstellungen\***\Anwendungsdaten\mdbu.bin
2011-06-11 12:31 . 2011-05-17 13:38	404640	---ha-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-02 15:31 . 2008-08-07 09:26	692736	---ha-w-	c:\windows\system32\inetcomm.dll
2011-04-29 16:19 . 2008-04-14 12:00	456320	---ha-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 16:05 . 2008-04-14 12:00	916480	---ha-w-	c:\windows\system32\wininet.dll
2011-04-25 16:05 . 2008-04-14 12:00	43520	---ha-w-	c:\windows\system32\licmgr10.dll
2011-04-25 16:05 . 2008-04-14 12:00	1469440	---h--w-	c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2008-04-14 12:00	385024	---h--w-	c:\windows\system32\html.iec
2011-04-21 13:37 . 2008-04-14 12:00	105472	---ha-w-	c:\windows\system32\drivers\mup.sys
2009-03-29 10:41 . 2009-03-29 10:41	1048200	---h--w-	c:\programme\MoveMediaPlayer_071303000004.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 09:32	279944	---h--w-	c:\programme\AskBarDis\bar\bin\askBar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Device Detection"="c:\programme\fotokasten comfort - Tchibo Edition\dd.exe" [2009-02-10 78816]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-03-11 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"MGSysCtrl"="c:\programme\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"LanguageShortcut"="c:\programme\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"QuickFinder Scheduler"="c:\programme\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2007-01-02 83568]
"UCam_Menu"="c:\programme\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-05-26 85160]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2011-03-17 74752]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\utorrent\\uTorrent.exe"=
"c:\\Programme\\Winamp\\winamp.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R2 Micro Star SCM;Micro Star SCM;c:\programme\System Control Manager\MSIService.exe [07.08.2008 12:30 159744]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [07.08.2008 12:01 156160]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [07.08.2008 12:19 572416]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [11.03.2010 17:20 135664]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [11.03.2010 17:20 135664]
.
Inhalt des "geplante Tasks" Ordners
.
2008-08-13 c:\windows\Tasks\Critical Battery Alarm Program.job
- c:\windows\system32\shutdown.exe [2008-04-14 12:00]
.
2011-06-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-11 15:20]
.
2011-06-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-11 15:20]
.
2011-06-21 c:\windows\Tasks\User_Feed_Synchronization-{9AEAA484-D52F-4B47-AD8F-9ECF4220D028}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Öffnen mit WordPerfect - c:\programme\WordPerfect Office X3\Programs\WPLauncher.hta
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4
TCP: DhcpNameServer = 192.168.1.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-toolbar_eula_launcher - c:\program files\GoogleEULA\EULALauncher.exe
AddRemove-_{ADDBE07D-95B8-4789-9C76-187FFF9624B4} - c:\programme\Corel\CorelDRAW Essential Edition 3\Programs\MSILauncher {ADDBE07D-95B8-4789-9C76-187FFF9624B4}
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-06-21 21:54
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(632)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PSIService.exe
c:\programme\Cyberlink\Shared files\RichVideo.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-06-21  21:57:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-06-21 19:57
.
Vor Suchlauf: 1 Verzeichnis(se), 67.716.296.704 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 68.608.344.064 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 6EA4122D2EAB9DF9C04CAFFC8C3B7F43
         

Vielen Dank für's Drüberschauen!

Lois