Ja, otl und qoobox sind gelöscht und alle Passwörter geändert.

ok dann hätten wirs.

Aber Avira gibt immer noch die Meldung, dass ein Virus oder unerwünschtes Programm gefunden wurde. Letzter Fund: W32/PatchLoad.A

na woher soll ich denn das wissen wenn dus nicht sagst, sitze ich am pc oder du?
wo zeigt avira was an, poste mir die meldung.

Jedes Mal nach dem Hochfahren kommt diese Meldung:

In der Datei 'C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe'
wurde ein Virus oder unerwünschtes Programm 'W32/PatchLoad.A' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

ok.
das nächste mal bescheid sagen, denn combofix hatte das eig schon entfernt.
1. lade cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
2. updaten.
3. schalte alle aktiven programme, auch avira guard ab, rechtsklick auf regenschirm, guard deaktivieren.
trenne die internet verbindung, also auch wlan abschalten bzw lan kabel ziehen.
4. scanne mit cureit, anders als beschrieben im normalen modus, nicht im abgesicherten.
der schnell scan reicht erst mal.
5. internet und avira ein, und die fundmeldungen posten, (vcs datei)
bzw log bei
File-Upload.net - Ihr kostenloser File Hoster!
hochladen.

Also hier ist die Liste mit den Funden. Und dann kam noch die Meldung, dass die IP Adresse (?) modifiziert wurde und ob das zurück gesetzt werden soll. Sorry, den genauen Wortlaut weiß ich nicht mehr.

hxxp://www.file-upload.net/download-3782867/DrWeb.csv.html

welche aktion hast du damit ausgeführt mit dem gefundenen file?
reparieren müsste eig gehen.
falls du das gemacht hast, starte mal neu und berichte, ob avira noch anschlägt.

Reparieren gibt es nicht, jedenfalls sehe ich es nicht. Meinst du vielleicht desinfizieren?

ja, sorry genau das.

Nein, Avira bringt die Meldung jetzt nicht mehr.

sehr gut.
ok gehe jetzt auf start programme zubehör eingabeaufforderung.
nacheinander eingeben:
netsh int ip reset reset.log
drücke enter
netsh winsock reset catalog
drücke enter
ipconfig /flushdns
drücke enter
exit
drücke enter
falls du bei einem befehl scheiterst, halte an, gib ihn erneut ein, falls das nicht klappt halte an, und sag mir welcher befehl probleme macht.

Hat geklappt.

ok in der zwischenzeit kam avira 12. bitte mal ein upgrade instalieren updaten und scannen:
Avira Downloads

Hier ist das Log.


Avira Antivirus Premium 2012
Erstellungsdatum der Reportdatei: Donnerstag, 6. Oktober 2011 09:41

Es wird nach 3362431 Virenstämmen gesucht.

Das Programm läuft als voll funktionsfähige Evaluationsversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : E B
Seriennummer : 2216557713-PEPWE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LENOVO-23357B53

Versionsinformationen:
BUILD.DAT : 12.0.0.865 42510 Bytes 23.09.2011 18:38:00
AVSCAN.EXE : 12.1.0.17 490448 Bytes 06.10.2011 09:29:46
AVSCAN.DLL : 12.1.0.17 65744 Bytes 06.10.2011 09:29:44
LUKE.DLL : 12.1.0.17 68304 Bytes 06.10.2011 09:30:34
AVSCPLR.DLL : 12.1.0.19 99536 Bytes 06.10.2011 09:31:57
AVREG.DLL : 12.1.0.20 227024 Bytes 06.10.2011 09:31:56
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 12:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:52:59
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 07:53:00
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 12:10:02
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 12:10:06
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:10:07
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 09:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 20:27:47
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 20:27:47
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 20:27:48
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 20:27:49
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 20:27:49
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 20:27:50
VBASE013.VDF : 7.11.15.112 2048 Bytes 05.10.2011 20:27:50
VBASE014.VDF : 7.11.15.113 2048 Bytes 05.10.2011 20:27:51
VBASE015.VDF : 7.11.15.114 2048 Bytes 05.10.2011 20:27:51
VBASE016.VDF : 7.11.15.115 2048 Bytes 05.10.2011 20:27:51
VBASE017.VDF : 7.11.15.116 2048 Bytes 05.10.2011 20:27:51
VBASE018.VDF : 7.11.15.117 2048 Bytes 05.10.2011 20:27:51
VBASE019.VDF : 7.11.15.118 2048 Bytes 05.10.2011 20:27:51
VBASE020.VDF : 7.11.15.119 2048 Bytes 05.10.2011 20:27:51
VBASE021.VDF : 7.11.15.120 2048 Bytes 05.10.2011 20:27:52
VBASE022.VDF : 7.11.15.121 2048 Bytes 05.10.2011 20:27:52
VBASE023.VDF : 7.11.15.122 2048 Bytes 05.10.2011 20:27:52
VBASE024.VDF : 7.11.15.123 2048 Bytes 05.10.2011 20:27:52
VBASE025.VDF : 7.11.15.124 2048 Bytes 05.10.2011 20:27:52
VBASE026.VDF : 7.11.15.125 2048 Bytes 05.10.2011 20:27:52
VBASE027.VDF : 7.11.15.126 2048 Bytes 05.10.2011 20:27:53
VBASE028.VDF : 7.11.15.127 2048 Bytes 05.10.2011 20:27:53
VBASE029.VDF : 7.11.15.128 2048 Bytes 05.10.2011 20:27:53
VBASE030.VDF : 7.11.15.129 2048 Bytes 05.10.2011 20:27:53
VBASE031.VDF : 7.11.15.135 91136 Bytes 05.10.2011 20:28:00
Engineversion : 8.2.6.76
AEVDF.DLL : 8.1.2.1 106868 Bytes 21.04.2011 07:52:30
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 05.10.2011 20:29:23
AESCN.DLL : 8.1.7.2 127349 Bytes 21.04.2011 07:52:28
AESBX.DLL : 8.2.1.34 323957 Bytes 21.07.2011 12:07:25
AERDL.DLL : 8.1.9.15 639348 Bytes 30.09.2011 14:48:48
AEPACK.DLL : 8.2.10.11 684408 Bytes 30.09.2011 14:48:47
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 30.09.2011 14:48:45
AEHEUR.DLL : 8.1.2.175 3731831 Bytes 05.10.2011 20:29:12
AEHELP.DLL : 8.1.17.7 254327 Bytes 28.07.2011 14:57:45
AEGEN.DLL : 8.1.5.9 401780 Bytes 25.08.2011 21:54:06
AEEMU.DLL : 8.1.3.0 393589 Bytes 21.04.2011 07:52:17
AECORE.DLL : 8.1.23.0 196983 Bytes 25.08.2011 21:54:06
AEBB.DLL : 8.1.1.0 53618 Bytes 21.04.2011 07:52:16
AVWINLL.DLL : 12.1.0.17 27344 Bytes 06.10.2011 09:28:08
AVPREF.DLL : 12.1.0.17 51920 Bytes 06.10.2011 09:29:44
AVREP.DLL : 12.1.0.17 179920 Bytes 06.10.2011 09:31:57
AVARKT.DLL : 12.1.0.17 223184 Bytes 06.10.2011 09:29:18
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 06.10.2011 09:29:24
SQLITE3.DLL : 3.7.0.0 398288 Bytes 06.10.2011 09:31:12
AVSMTP.DLL : 12.1.0.17 63440 Bytes 06.10.2011 09:29:49
NETNT.DLL : 12.1.0.17 17104 Bytes 06.10.2011 09:30:49
RCIMAGE.DLL : 12.1.0.17 4491472 Bytes 06.10.2011 09:28:12
RCTEXT.DLL : 12.1.0.16 98512 Bytes 06.10.2011 09:28:13

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 6. Oktober 2011 09:41

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'SvcGuiHlpr.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'suservice.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcSvc.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'PWMDBSVC.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvtsched.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpKmpSVC.exe' - '10' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHDEXLG.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmurfService.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '6' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'acs.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcPrfMgrSvc.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCardSvr.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '173' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1111' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Preload>
C:\Qoobox.zip
[0] Archivtyp: ZIP
--> Qoobox/Quarantine/C/Programme/Adobe/Photoshop Elements 5.0/PhotoshopElementsFileAgent.exe.vir
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.102400.4
--> Qoobox/Quarantine/C/Programme/CDBurnerXP/NMSAccessU.exe.vir
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.71096
--> Qoobox/Quarantine/C/Programme/Gemeinsame Dateien/InterVideo/RegMgr/iviRegMgr.exe.vir
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.112152.2
--> Qoobox/Quarantine/C/Programme/Gemeinsame Dateien/Lenovo/Scheduler/tvtsched.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
--> Qoobox/Quarantine/C/Programme/Intel/Wireless/Bin/EvtEng.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
--> Qoobox/Quarantine/C/Programme/Intel/Wireless/Bin/RegSrvc.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
--> Qoobox/Quarantine/C/Programme/Intel/Wireless/Bin/S24EvMon.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
--> Qoobox/Quarantine/C/Programme/Lenovo/System Update/suservice.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
--> Qoobox/Quarantine/C/Programme/ThinkPad/Bluetooth Software/bin/btwdins.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
--> Qoobox/Quarantine/C/Programme/ThinkPad/ConnectUtilities/AcPrfMgrSvc.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
--> Qoobox/Quarantine/C/Programme/ThinkPad/ConnectUtilities/AcSvc.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
--> Qoobox/Quarantine/C/Programme/ThinkPad/Utilities/PWMDBSVC.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
--> Qoobox/Quarantine/C/Programme/WEB.DE/WEB.DE SmartSurfer/SmurfService.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
--> Qoobox/Quarantine/C/WINDOWS/assembly/GAC_MSIL/desktop.ini.vir
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
--> Qoobox/Quarantine/C/WINDOWS/system32/acs.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
--> Qoobox/Quarantine/C/WINDOWS/system32/Drivers/afd.sys.vir
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/ZAccess.EA
--> Qoobox/Quarantine/C/WINDOWS/system32/ibmpmsvc.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
--> Qoobox/Quarantine/C/WINDOWS/system32/nvsvc32.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
--> Qoobox/Quarantine/C/WINDOWS/system32/slserv.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
--> Qoobox/Quarantine/C/WINDOWS/system32/TPHDEXLG.exe.vir
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.37416
--> Qoobox/Quarantine/C/WINDOWS/system32/TpKmpSVC.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
--> Qoobox/Quarantine/C/WINDOWS/system32/wuauclt.exe.vir
[FUND] Ist das Trojanische Pferd TR/Spy.53472.4
C:\WINDOWS\assembly\GAC_MSIL\Desktop(2).ini
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2

Beginne mit der Desinfektion:
C:\WINDOWS\assembly\GAC_MSIL\Desktop(2).ini
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
[WARNUNG] Die Datei wurde ignoriert.
C:\Qoobox.zip
[FUND] Ist das Trojanische Pferd TR/Spy.53472.4
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Donnerstag, 6. Oktober 2011 12:35
Benötigte Zeit: 1:16:45 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

12983 Verzeichnisse wurden überprüft
468156 Dateien wurden geprüft
23 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
468133 Dateien ohne Befall
14447 Archive wurden durchsucht
2 Warnungen
0 Hinweise
316591 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden