Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Ich habe CombiFix angewandt und folgendes Log erhalten:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-01-10.02 - user 11.01.2012  13:42:01.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1918.1342 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\user\Eigene Dateien\TrojanerOP\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}


(((((((((((((((((((((((   Dateien erstellt von 2011-12-11 bis 2012-01-11  ))))))))))))))))))))))))))))))


2012-01-10 13:33:16 . 2012-01-10 13:33:16	--------	d-----w-	C:\_OTL
2011-12-31 17:33:16 . 2011-12-31 17:33:16	--------	d-----r-	C:\MSOCache
2011-12-28 09:22:48 . 2011-12-28 09:22:48	--------	d-----w-	C:\MyWorks
.


((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

2011-11-23 14:40:13 . 2004-08-04 12:00:00	1859712	----a-w-	C:\WINDOWS\system32\win32k.sys
2011-11-04 19:13:36 . 2004-08-04 12:00:00	916992	----a-w-	C:\WINDOWS\system32\wininet.dll
2011-11-04 19:13:34 . 2004-08-04 12:00:00	43520	------w-	C:\WINDOWS\system32\licmgr10.dll
2011-11-04 19:13:34 . 2004-08-04 12:00:00	1469440	------w-	C:\WINDOWS\system32\inetcpl.cpl
2011-11-04 11:23:59 . 2004-08-04 12:00:00	385024	------w-	C:\WINDOWS\system32\html.iec
2011-11-01 16:07:05 . 2004-08-04 12:00:00	1288704	----a-w-	C:\WINDOWS\system32\ole32.dll
2011-10-28 05:31:46 . 2004-08-04 12:00:00	33280	----a-w-	C:\WINDOWS\system32\csrsrv.dll
2011-10-26 10:49:46 . 2004-08-04 12:00:00	2151424	----a-w-	C:\WINDOWS\system32\ntoskrnl.exe
2011-10-26 10:49:46 . 2004-08-04 00:50:18	2029568	----a-w-	C:\WINDOWS\system32\ntkrnlpa.exe
2011-10-18 11:13:23 . 2004-08-04 12:00:00	186880	----a-w-	C:\WINDOWS\system32\encdec.dll
2011-12-21 07:42:29 . 2011-12-31 12:51:36	121816	----a-w-	C:\Programme\mozilla firefox\components\browsercomps.dll


((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))


*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0\bin\jusched.exe" [2011-12-27 16:26:05 36972]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41:22 45056]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-04 08:44:58 16120832]
"Alcmtr"="ALCMTR.EXE" [2005-05-03 09:43:28 69632]
"EDS"="C:\Programme\Samsung\Samsung EDS\EDSAgent.exe" [2006-03-28 12:27:16 634880]
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-12 05:50:02 88204]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-07 05:44:16 761947]
"AVStation Premium 3.75"="C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe" [2006-05-12 16:27:40 159744]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 19:24:46 32768]
"B'sCLiP"="C:\PROGRA~1\CYBERL~1\INSTAN~1\Win2K\IBurn.exe" [2005-11-30 14:01:34 700416]
"MagicKeyboard"="C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-17 21:24:52 151552]
"BatteryManager"="C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2006-04-25 13:05:48 2764800]
"DMHotKey"="C:\Programme\Samsung\DisplayManager\DMLoader.exe" [2005-11-23 10:18:10 356352]
"DisplayManager"="C:\Programme\Samsung\DisplayManager\DisplayManager.exe" [2006-05-03 18:22:18 413696]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 10:44:34 31072]
"PDFPrint"="C:\Programme\PDF24\pdf24.exe" [2011-12-16 11:54:22 220744]
"avgnt"="C:\Programme\Avira\AntiVir Desktop\avgnt.exe" [2011-09-23 10:39:05 258512]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 02:22:40 15360]

C:\Dokumente und Einstellungen\user\Startmenü\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
         

Log ist unvollständig!

Ich habe den ComboFixScan wiederholt und diesmal ein vollständiges Log erhalten. Während des Scans erschienen aber wiederholt Fehlermeldungen, wie im angehängten ScreenShot. Neben dem dargestellten Fund REGT.3XE wurde noch catchme.3XE und cf59.3xe gefunden.

[code]
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-01-10.02 - user 11.01.2012  23:43:57.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1918.1442 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\user\Eigene Dateien\TrojanerOP\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}


(((((((((((((((((((((((   Dateien erstellt von 2011-12-11 bis 2012-01-11  ))))))))))))))))))))))))))))))


2012-01-10 13:33:16 . 2012-01-10 13:33:16	--------	d-----w-	C:\_OTL
2011-12-31 17:33:16 . 2011-12-31 17:33:16	--------	d-----r-	C:\MSOCache
2011-12-28 09:22:48 . 2011-12-28 09:22:48	--------	d-----w-	C:\MyWorks
.


((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

2011-11-23 14:40:13 . 2004-08-04 12:00:00	1859712	----a-w-	C:\WINDOWS\system32\win32k.sys
2011-11-04 19:13:36 . 2004-08-04 12:00:00	916992	----a-w-	C:\WINDOWS\system32\wininet.dll
2011-11-04 19:13:34 . 2004-08-04 12:00:00	43520	------w-	C:\WINDOWS\system32\licmgr10.dll
2011-11-04 19:13:34 . 2004-08-04 12:00:00	1469440	------w-	C:\WINDOWS\system32\inetcpl.cpl
2011-11-04 11:23:59 . 2004-08-04 12:00:00	385024	------w-	C:\WINDOWS\system32\html.iec
2011-11-01 16:07:05 . 2004-08-04 12:00:00	1288704	----a-w-	C:\WINDOWS\system32\ole32.dll
2011-10-28 05:31:46 . 2004-08-04 12:00:00	33280	----a-w-	C:\WINDOWS\system32\csrsrv.dll
2011-10-26 10:49:46 . 2004-08-04 12:00:00	2151424	----a-w-	C:\WINDOWS\system32\ntoskrnl.exe
2011-10-26 10:49:46 . 2004-08-04 00:50:18	2029568	----a-w-	C:\WINDOWS\system32\ntkrnlpa.exe
2011-10-18 11:13:23 . 2004-08-04 12:00:00	186880	----a-w-	C:\WINDOWS\system32\encdec.dll
2011-12-21 07:42:29 . 2011-12-31 12:51:36	121816	----a-w-	C:\Programme\mozilla firefox\components\browsercomps.dll


((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))


*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0\bin\jusched.exe" [2011-12-27 16:26:05 36972]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41:22 45056]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-04 08:44:58 16120832]
"EDS"="C:\Programme\Samsung\Samsung EDS\EDSAgent.exe" [2006-03-28 12:27:16 634880]
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-12 05:50:02 88204]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-07 05:44:16 761947]
"AVStation Premium 3.75"="C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe" [2006-05-12 16:27:40 159744]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 19:24:46 32768]
"B'sCLiP"="C:\PROGRA~1\CYBERL~1\INSTAN~1\Win2K\IBurn.exe" [2005-11-30 14:01:34 700416]
"MagicKeyboard"="C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-17 21:24:52 151552]
"BatteryManager"="C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2006-04-25 13:05:48 2764800]
"DMHotKey"="C:\Programme\Samsung\DisplayManager\DMLoader.exe" [2005-11-23 10:18:10 356352]
"DisplayManager"="C:\Programme\Samsung\DisplayManager\DisplayManager.exe" [2006-05-03 18:22:18 413696]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 10:44:34 31072]
"PDFPrint"="C:\Programme\PDF24\pdf24.exe" [2011-12-16 11:54:22 220744]
"avgnt"="C:\Programme\Avira\AntiVir Desktop\avgnt.exe" [2011-09-23 10:39:05 258512]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 02:22:40 15360]

C:\Dokumente und Einstellungen\user\Startmenü\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R0 BsStor;B.H.A Storage Helper Driver;C:\WINDOWS\system32\drivers\BsStor.sys [28.12.2011 10:27:01 10368]
R1 avkmgr;avkmgr;C:\WINDOWS\system32\drivers\avkmgr.sys [09.01.2012 08:37:22 36000]
R2 AntiVirMailService;Avira Email Schutz;C:\Programme\Avira\AntiVir Desktop\avmailc.exe [09.01.2012 08:37:22 342480]
R2 AntiVirSchedulerService;Avira Planer;C:\Programme\Avira\AntiVir Desktop\sched.exe [09.01.2012 08:37:27 86224]
R2 AntiVirWebService;Avira Browser Schutz;C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe [09.01.2012 08:37:22 463824]
R2 BsUDF;B.H.A UDF Filesystem;C:\WINDOWS\system32\drivers\BsUDF.sys [28.12.2011 10:27:01 164480]
R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [28.12.2011 10:22:13 4300]
R3 DNSeFilter;DNSeFilter;C:\WINDOWS\system32\drivers\SamsungEDS.SYS [29.03.2006 12:59:12 27648]
R3 SSB2413;SSB2413 Wireless Network Adapter Service;C:\WINDOWS\system32\drivers\SSB2413.sys [28.12.2011 10:19:26 470112]
S2 SNM WLAN Service;SNM WLAN Service;C:\Programme\Samsung\Samsung Network Manager\SNMWLANService.exe [28.05.2005 08:35:56 36864]


------- Zusätzlicher Suchlauf -------

uStart Page = hxxp://www.google.de/
IE: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: C:\Programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - C:\Dokumente und Einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\55j2dhzl.default\


**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-01-11 23:50:30
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Zeit der Fertigstellung: 2012-01-11  23:52:46
ComboFix-quarantined-files.txt  2012-01-11 22:52:26

Vor Suchlauf: 7 Verzeichnis(se), 40.568.389.632 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 40.557.674.496 Bytes frei

- - End Of File - - 4320D423811E363CCA1863112A7AE4AD
         

--- --- ---

Ja steht doch überall (sinngemäß) dass CF mit radikalen Methoden vorgeht und deswegen Fehlalarme sehr wahrscheinlich sind. Deswegen müssen Virenscanner ja auch vor CF deaktiviert werden. Was meinst du wohl was passiert wenn CF mitten im werkeln ist und der Virenscanner bremst ihn aus. Im schlimmsten Fall haste ein korruptes oder gänzlich zerstörtes System!

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Ich hoff mal, dass es nicht sooo schlimm ist . Jedenfalls komm ich zu den nächsten Anweisungen erst Samstag nacht oder gar Sonntag. Aber ich bleibe dran. Danke!