hallo,
ich habe das gleiche problem seit einigen tagen.
habe jetzt schon Malwarebytes drüber laufen lassen und die 21 gefundenen dateien gelöscht, glaube aber nicht, dass das problem schon gelöst ist.

hier mal der log:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3913
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

25.03.2010 21:16:27
mbam-log-2010-03-25 (21-16-19).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|K:\|L:\|)
Durchsuchte Objekte: 229562
Laufzeit: 1 hour(s), 35 minute(s), 33 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
C:\Users\blabla\.COMMgr\complmgr.exe (Trojan.Agent) -> No action taken.

Infizierte Speichermodule:
C:\Windows\System32\sshnas21.dll (Trojan.Downloader) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\canaveral (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\com+ manager (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\adobe_reader (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\Temp\ctv727.exe (Trojan.Dropper) -> No action taken.
C:\Users\blabla\AppData\Local\Temp\ynh.exe (Trojan.FakeAlert) -> No action taken.
C:\Windows\System32\sshnas21.dll (Trojan.Downloader) -> No action taken.
C:\Program Files\Internet Explorer\js.mui (Trojan.Downloader) -> No action taken.
C:\Users\blabla\.COMMgr\complmgr.exe (Trojan.Agent) -> No action taken.
C:\Windows\Temp\wmpscfgs.exe (Trojan.Agent) -> No action taken.
C:\Users\blabla\AppData\Local\Temp\wmpscfgs.exe (Trojan.Agent) -> No action taken.
C:\Program Files\Internet Explorer\wmpscfgs.exe (Trojan.Agent) -> No action taken.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> No action taken.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.

Halli hallo.



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK
  Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter BlaBlub.exe abspeichern!
  Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

habe mich genau an die anweisungen gehalten.
hoffe nichts übersehen zu haben.

hier der combofix log:

ComboFix 10-03-26.02 - mustermann 26.03.2010 22:59:15.1.2 - x86
Microsoft Windows 7 6.1.7600 [GMT 1:00]
ausgeführt von:: c:\users\mustermann\Desktop\blabla.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-02-26 bis 2010-03-26 ))))))))))))))))))))))))))))))
.

2010-03-26 22:07 . 2010-03-26 22:09 -------- d-----w- c:\users\mustermann\AppData\Local\temp
2010-03-26 22:07 . 2010-03-26 22:07 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-03-26 21:53 . 2010-03-26 21:53 -------- d-----w- C:\32788R22FWJFW
2010-03-26 21:30 . 2010-03-26 21:30 -------- d-----w- c:\program files\CCleaner
2010-03-25 18:37 . 2010-03-25 18:37 -------- d-----w- c:\users\mustermann\AppData\Roaming\Malwarebytes
2010-03-25 18:37 . 2010-03-25 18:37 -------- d-----w- c:\programdata\Malwarebytes
2010-03-25 18:37 . 2010-03-26 21:10 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-23 19:49 . 2010-03-23 19:49 -------- d-----w- C:\$AVG
2010-03-17 18:35 . 2010-03-26 21:10 -------- d-----w- c:\program files\WinAVI MP4 Converter
2010-03-17 17:56 . 2010-03-26 21:10 -------- d-----w- c:\program files\AviSynth 2.5
2010-03-17 17:44 . 2010-03-25 20:18 -------- d-----w- c:\windows\XSxS
2010-03-17 16:43 . 2010-03-17 16:43 1209 ----a-w- c:\users\mustermann\AppData\Roaming\.purple\certificates\x509\tls_peers\twitter.com
2010-03-17 16:40 . 2010-03-17 16:41 1791 ----a-w- c:\users\mustermann\AppData\Roaming\.purple\certificates\x509\tls_peers\bos.oscar.aol.com
2010-03-17 16:40 . 2010-03-17 16:40 1505 ----a-w- c:\users\mustermann\AppData\Roaming\.purple\certificates\x509\tls_peers\slogin.oscar.aol.com
2010-03-16 15:23 . 2010-03-16 15:23 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-03-05 19:59 . 2010-03-05 19:59 -------- d-----w- c:\windows\Sun
2010-02-26 14:49 . 2010-02-26 14:49 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-02-26 14:48 . 2010-03-26 21:06 -------- d-----w- c:\program files\Java

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-26 21:20 . 2010-02-12 19:48 -------- d-----w- c:\program files\Opera
2010-03-26 21:11 . 2009-07-13 23:11 21584 ----a-w- c:\windows\system32\drivers\atapi.sys
2010-03-26 21:11 . 2009-07-14 04:52 -------- d-----w- c:\program files\Windows Sidebar
2010-03-26 21:11 . 2009-07-14 04:52 -------- d-----w- c:\program files\Windows Photo Viewer
2010-03-26 21:10 . 2010-02-14 10:50 -------- d-----w- c:\users\mustermann\AppData\Roaming\Mp3tag
2010-03-26 21:10 . 2010-02-12 20:08 -------- d-----w- c:\users\mustermann\AppData\Roaming\vlc
2010-03-26 21:10 . 2010-02-15 13:06 -------- d-----w- c:\program files\WinSCP
2010-03-26 21:10 . 2010-02-12 23:41 -------- d-----w- c:\programdata\avg9
2010-03-26 21:10 . 2010-02-12 20:20 -------- d-----w- c:\program files\QuickTime
2010-03-26 21:10 . 2010-02-12 20:01 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-03-26 21:10 . 2010-02-12 20:26 -------- d-----w- c:\program files\iTunes
2010-03-26 21:10 . 2010-02-12 20:22 -------- d-----w- c:\program files\Bonjour
2010-03-26 21:07 . 2010-02-12 20:01 -------- d-----w- c:\users\mustermann\AppData\Roaming\Thunderbird
2010-03-26 21:07 . 2010-02-21 11:27 -------- d-----w- c:\users\mustermann\AppData\Roaming\Foxit
2010-03-26 21:07 . 2010-02-12 19:56 -------- d-----w- c:\users\mustermann\AppData\Roaming\.purple
2010-03-26 21:07 . 2009-08-14 17:33 -------- d-----w- c:\users\mustermann\AppData\Roaming\ICQ
2010-03-26 21:07 . 2010-02-12 20:26 -------- d-----w- c:\programdata\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2010-03-26 21:07 . 2010-02-12 20:20 -------- d-----w- c:\programdata\Apple Computer
2010-03-26 21:07 . 2010-02-12 20:15 -------- d-----w- c:\programdata\Apple
2010-03-16 15:23 . 2010-02-12 23:42 242696 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-03-16 15:23 . 2010-02-12 23:41 29512 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-03-16 15:22 . 2010-02-12 23:41 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-03-14 18:31 . 2010-02-12 20:12 -------- d-----w- c:\users\mustermann\AppData\Roaming\gtk-2.0
2010-02-21 10:57 . 2010-02-12 20:28 84120 ----a-w- c:\users\mustermann\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-21 10:54 . 2010-02-21 10:54 -------- d-----w- c:\programdata\FLEXnet
2010-02-20 15:21 . 2010-02-20 15:21 1691 ----a-w- c:\users\mustermann\AppData\Roaming\.purple\certificates\x509\tls_peers\api.screenname.aol.com
2010-02-15 20:46 . 2010-02-15 20:10 -------- d-----w- c:\program files\ComicConverter
2010-02-15 12:43 . 2010-02-12 20:27 -------- d-----w- c:\users\mustermann\AppData\Roaming\Apple Computer
2010-02-15 12:42 . 2010-02-15 12:42 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_09_00.Wdf
2010-02-14 10:59 . 2010-02-14 10:58 -------- d-----w- c:\program files\QuickDic
2010-02-13 12:10 . 2010-02-13 11:54 -------- d-----w- c:\programdata\Microsoft Help
2010-02-12 19:40 . 2010-02-12 19:40 -------- d-sh--we c:\programdata\Templates
2010-02-12 19:40 . 2010-02-12 19:40 -------- d-sh--we c:\programdata\Start Menu
2010-02-12 19:40 . 2010-02-12 19:40 -------- d-sh--we c:\programdata\Favorites
2010-02-12 19:40 . 2010-02-12 19:40 -------- d-sh--we c:\programdata\Documents
2010-02-12 19:40 . 2010-02-12 19:40 -------- d-sh--we c:\programdata\Desktop
2010-02-12 19:34 . 2010-02-12 19:34 0 ----a-w- c:\windows\system32\atiicdxx.dat
2010-02-12 19:34 . 2010-02-12 19:34 0 ----a-w- c:\windows\ativpsrm.bin
2010-02-12 19:33 . 2010-02-12 19:33 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_09_00.Wdf
2010-01-22 18:51 . 2010-01-22 18:51 72488 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.0.3.15\SetupAdmin.exe
2010-01-18 23:29 . 2010-02-10 05:42 85504 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
2010-01-18 23:29 . 2010-02-10 05:42 85504 ----a-w- c:\windows\system32\secproc_ssp.dll
2010-01-18 23:29 . 2010-02-10 05:42 365568 ----a-w- c:\windows\system32\secproc_isv.dll
2010-01-18 23:29 . 2010-02-10 05:42 369152 ----a-w- c:\windows\system32\secproc.dll
2010-01-18 23:28 . 2010-02-10 05:42 324608 ----a-w- c:\windows\system32\RMActivate_isv.exe
2010-01-18 23:28 . 2010-02-10 05:42 277504 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
2010-01-18 23:28 . 2010-02-10 05:42 320512 ----a-w- c:\windows\system32\RMActivate.exe
2010-01-18 23:28 . 2010-02-10 05:42 280064 ----a-w- c:\windows\system32\RMActivate_ssp.exe
2010-01-14 19:12 . 2010-02-10 05:47 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-08 03:18 . 2010-02-10 05:42 221184 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-01-08 03:17 . 2010-02-10 05:42 123392 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-01-22 141608]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2010-03-16 216200]
S1 AvgTdiX;AVG Free Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [2010-03-16 242696]
S2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-03-16 916760]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-03-16 308064]
S3 ctxS51;Creatix V.9X DSP Data Fax Modem;c:\windows\system32\DRIVERS\ctxS51.sys [2006-05-01 1903646]
S3 Ph3xIB32;Philips 713x Inbox PCI TV Card;c:\windows\system32\DRIVERS\Ph3xIB32.sys [2009-07-13 1311232]
S3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\DRIVERS\PRISMA00.sys [2003-12-18 380736]

.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-SRService


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(2392)
c:\program files\WinSCP\DragExt.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\sppsvc.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\System32\rundll32.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\WUDFHost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-03-26 23:14:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-03-26 22:14

Vor Suchlauf: 117.561.896.960 bytes free
Nach Suchlauf: 117.122.289.664 bytes free

- - End Of File - - 34F8CDDAB04F898B0B9BEB33B21C639B

Gut. Scanne nun nach Anleitung mit CureIT und poste wie immer das log.

so, hier das CureIT log:

avgtray.exe.delme156;C:\Program Files\AVG\AVG9;Trojan.Click.55756;Gelöscht.;

atapi.sys.vir;C:\Qoobox\Quarantine\C\Windows\System32\drivers;BackDoor.Tdss.2213;Desinfiziert.;

Ähm, nutzt du AVG und hast es legal erstanden?

Wenn ja dann hat CureIT grade dein Tray sysmbol gekillt.

Wenn du AVG wirklich original von der Herstellerseite hast dann stelle diese Löschung wieder her:

Zitat:

avgtray.exe.delme156;C:\Program Files\AVG\AVG9;Trojan.Click.55756;Gelöscht.;

CureIT sollte ja eigentlich Backups angelegt haben.

ja das ist die gratis version von der offiziellen avg seite.
werds einfach mal neu installieren.

edit:
habe jetzt avg deinstalliert und avira antivir installiert.

muss ich jetzt noch ein programm drüber laufen lassen oder ist die sache schon fertig? bis jetzt hatte ich kein problem mehr, aber man weiß ja nie.

Lass mal AntiVir mit aggressiven settings laufen:
http://www.trojaner-board.de/54192-a...tellungen.html

Und danach Malwarebytes und SUPERAntiSpyware und poste wie immer alle logs.

beim ersten durchlauf mit antivir hat es einen virus im java ordner gefunden.
hab java mal geupdated etc, da es ja vielleicht daran lag.
hab leider den log nicht gespeichert.
jetzt nochmal alle 3 programme durchlaufn lassen. antivir hat nichts mehr gefunden. hier die anderen 2 logs:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3928
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

29.03.2010 21:09:27
mbam-log-2010-03-29 (21-09-27).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 210046
Laufzeit: 1 hour(s), 13 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx


SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 03/29/2010 bei 10:40 PM

Version der Applikation : 4.34.1000

Version der Kern-Datenbank : 4744
Version der Spur-Datenbank : 2556

Scan Art : kompletter Scann
Totale Scann-Zeit : 01:25:13

Gescannte Speicherelemente : 667
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 6401
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 82384
Erfasste Datei-Elemente : 0

Melde dich in einer Woche nochmal mit einem frschen AntiVir und Malwarebytes log. Update vorher nicht vergessen..

alles klar.
danke schon mal für die ganzen tipps.
bis jetzt scheint es was gebracht zu haben (:
problem trat auf jeden fall nicht mehr auf.