Wunderschönen guten Abend liebe Com,
ich habe seit gestern ein.. mittelschweres Problem mit dem Rechner von Bekannten. Nachdem bei denen gestern Abend gegen 18Uhr Avira durchlief (ihren Angaben zufolge "so wie immer"), öffnete sich plötzlich ein kleines Fenster, in dem etwas von W32 und patch stand (nach kurze Recherche wurde daraus dann W32/patchload.a) ... Wollte natürlich direkt im Internet nach einer Vernünftigen Lösung suchen, wurde aber nie direkt zum Ergebnis geleitet (Mozilla zum Browsen), sondern immer zu einer Seite ... p95.blablabla.com (so ähnlich). Desweiteren hat sich der Avira Echtzeit Scanner selber deaktiviert (Avira in der Freeware-Version). PC neu aufsetzen wäre an sich kein Problem (ich scheu keine Mühe), jedoch haben die hier jede Menge "wichtige" Fotos drauf, aber keine externe Festplatte + All diese Daten könnten bereits befallen sein (sofern ich das richtig verstanden habe). Würde ja gerne einen Avira-Report posten, nur weiß ich grade nicht, ob das überhaupt möglich ist, da sich fast alle Programme manchmal aufhängen, manchmal nicht. Ich glaube, das war bisher erstmal alles, zum Schluss wäre natürlich die ganz einfach gestellte, höflich formulierte Frage: Wie kriege ich den verdammten Virus wieder runter?
Meine letzte Hoffnung liegt in euch, bin natürlich bereit, eventuelle Software zu laden, Logs zu posten und sonstiges. Desweiteren möchte ich mich im Voraus für die eventuelle Mühe bedanken, stehe für weitere Fragen gern zur Verfügung (logisch...)
Auch das Forum/Internet habe ich durchsucht, jedoch haben die Meisten in ihren Logfiles 'n Keygen oder sowas, woraufhin weitere Hilfe natürlich nichtmehr gewährleistet wurde.

Im Folgenden noch die Logs, beim Defogger allerdings gleich das erste Problem, es kommt keine Aufforderung zum Neustart, hier das Ergebnis:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:44 on 30/12/2011 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Als nächstes habe ich OTL (genau nach Anleitung) gestartet, Text eingefügt und auf QuicScan geklickt, bei "Scanning FireFox settings..." wird das Fenster jedoch grau (Win7-Grau.. bzw blasser als normal) und zeigt mir in der obersten Leiste "OTL by OldTimer - Version 3.2.31.0 (Keine Rückmeldung)", obwohl ich nebenbei nichts anderes gemacht habe.

Bei GMER, wie soll's auch anders sein, kam kein "WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?"-Fenster oder ähnliches, Scan läuft aber grade. Soviel bisher dazu, hoffe auf Hilfe, trotz fast fehlender Angaben.

Außerdem hätte ich hier noch den letzten Avira-Report, den ich grade noch erlangen konnte:
29.12.2011,02:14:16 [INFO] ---------------------------------------------------------
29.12.2011,02:14:16 [INFO] Der Avira Free Antivirus Dienst wurde erfolgreich gestartet!
29.12.2011,02:14:37 [INFO] Echtzeit Scanner Version: 12.01.00.18, Engine Version 8.2.8.14, VDF Version: 7.11.20.59
29.12.2011,02:14:38 [INFO] Online-Dienste stehen zur Verfügung.
29.12.2011,02:14:38 [INFO] Echtzeit Scanner wurde aktiviert
29.12.2011,02:14:38 [INFO] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DLL .DLO .DO* .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT* .PPAM .PPS* .PPT* .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SLD? .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL* .XML .XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
29.12.2011,04:05:18 [INFO] Der Avira Free Antivirus Dienst wurde beendet!
29.12.2011,10:33:26 [INFO] ---------------------------------------------------------
29.12.2011,10:33:26 [INFO] Der Avira Free Antivirus Dienst wurde erfolgreich gestartet!
29.12.2011,10:33:38 [INFO] Echtzeit Scanner Version: 12.01.00.18, Engine Version 8.2.8.14, VDF Version: 7.11.20.59
29.12.2011,10:33:38 [INFO] Online-Dienste stehen zur Verfügung.
29.12.2011,10:33:38 [INFO] Echtzeit Scanner wurde aktiviert
29.12.2011,10:33:38 [INFO] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DLL .DLO .DO* .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT* .PPAM .PPS* .PPT* .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SLD? .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL* .XML .XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
29.12.2011,17:00:17 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
[INFO] Benutzer: ***-PC\***
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,17:12:08 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,17:14:48 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,17:22:55 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,17:22:57 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,17:22:57 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,17:22:59 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,17:48:47 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Windows\System32\atiesrxx.exe
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,17:48:49 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,17:54:49 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,17:54:51 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,17:54:51 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,17:54:53 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,18:14:51 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,18:14:53 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,18:14:53 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,18:14:55 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,18:33:28 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
[INFO] Benutzer: ***-PC\***
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,18:39:03 [INFO] ---------------------------------------------------------
29.12.2011,18:39:03 [INFO] Der Avira Free Antivirus Dienst wurde erfolgreich gestartet!
29.12.2011,18:39:46 [INFO] Echtzeit Scanner Version: 12.01.00.18, Engine Version 8.2.8.14, VDF Version: 7.11.20.59
29.12.2011,18:39:46 [INFO] Online-Dienste stehen zur Verfügung.
29.12.2011,18:39:46 [INFO] Echtzeit Scanner wurde aktiviert
29.12.2011,18:39:46 [INFO] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DLL .DLO .DO* .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT* .PPAM .PPS* .PPT* .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SLD? .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL* .XML .XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
29.12.2011,18:39:47 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,18:39:48 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,18:39:51 [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A!
C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
[INFO] Benutzer: NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!
29.12.2011,18:42:27 [INFO] Der Avira Free Antivirus Dienst wurde beendet!

Hoffentlich ist das alles so richtig gepostet, entschuldigt das viele Geschreibe, doch ich wusste mir nicth mehr anders zu helfen. (nachdem ich diesen Beitrag schonmal ins falsche Thema gepostet hatte)


---- Der GMER Scan ist fertig, es kommt "GMER has found system modification cause by ROOTKIT activity" und nur die Schaltfläche "OK".. Und nun? :s


Mit freundlichen Grüßen, Linda.

hi,
passt so.
machen deine bekannten onlinebanking, einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches, über diesen pc?

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Wollte dies grade machen, da erschien mir die Meldung, dass ComboFix festgestellt habe, dass Real-Time-Scanner laufen (antivirus Avira Desktop und antispyware Avira Desktop), nur habe ich Avira eben deinstalliert und den Pc neugestartet? o.o
Außerdem findet sich im Taskmanager kein Task bzgl. Avira (habe zum Vergleich den "gesunden" PC direkt daneben stehen)

einfach auf ok klicken bei dieser meldung.

Trotz ok gab es danach dummerweise keine Logs oder sonstiges..

ist combofix nicht weiter gelaufen?
starte mal in den abgesicherten modus, geht bei pc start mit f8 und versuchs noch mal

Naja, das Problem scheint sich wohl gegessen zu haben, hab den PC momentan nicht mehr zur Hand. Und entschuldigt bitte diese späte Antwort, war selber ziemlich im Stress.
Vielen Dank für die bisherige Hilfe, melde mich eventuell nochmal, falls ich den PC zu sehen bekomme.
Mit freundlichen Grüßen
Linda