Guten Tag,

nach dem Hören einiger Songs auf Grooveshark (und nur dieser einen Seite seit dem Hochfahren des Laptops) meldete Aviras Antivir (letztes Update wenige Tage her) ungefähr zehn Trojaner und verdächtige Scripts.
Diese wurden in Quarantäne verschoben und umgehend gelöscht. Außerdem hab ich das WLAN ausgeschaltet. Nun gibt es am laufenden Band Popups von:
Antimalware Doctor und
Antivir Solution Pro
Mit der Warnung vor einer Vielzahl Dialer und Co und natürlich der Aufforderung, die Vollversion zu erwerben. Google hat mir gesagt, dass das nichts nützen wird, weil die Programme selbst Schadsoftware sind.
Außerdem kommen immer Windows Security Alerts und Antivirus Software Alerts.

Ich habe eurer Anleitung nach CCleaner, Malwarebytes und OTL runtergeladen(auf dem anderen Rechner, und den Laptop mit den Setup-Dateien gefüttert. Folgendes Problem:
Direkt nach der Installation von CCleaner kann dieses nicht gestartet werden. "The file ccleaner.exe is infected. Do you want to activate your antivirus software now?"
Nachdem Aviras Antivir im Suchlauf ein Rootkit gefunden und entfernt hat, habe ich neugestartet und Avira ist nun genauso nicht mehr ausführbar.

Soll ich nun trotzdem Malwarebytes installieren? Obwohl ich ja dazu eine Internetverbindung offen haben muss, was mir momentan sehr brenzlig erscheint, wo ich nur mit dem wegklicken von Fehlermeldungen beschäftigt bin.

Ich wäre für einen Hinweis echt dankbar.
Viele Grüße
Christin

die fehlermeldung ist nicht von avira, die ist von der rogue.
starte den pc mal im abgesicherten modus, sollte nach pc start die f8-taste sein, dort abges modus auswählen und Malwarebytes nen komplett scan machen lassen, wenns geht nach update. und dann ccleaner.
dann neustart und malwarebytes öffnen, klicke auf logdateien, log posten.
dann otl logs

ok, bin grade beim Scan.
Vielen, vielen Dank erstmal für die schnelle Antwort!

kein prob :-)

Hallo,
hier ist das Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

05.08.2010 13:56:19
mbam-log-2010-08-05 (13-56-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 216431
Laufzeit: 27 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ed94ce5e-890c-4b73-b1df-39bdc2a578eb} (Adware.EZlife) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{ed94ce5e-890c-4b73-b1df-39bdc2a578eb} (Adware.EZlife) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{ed94ce5e-890c-4b73-b1df-39bdc2a578eb} (Adware.EZlife) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ed94ce5e-890c-4b73-b1df-39bdc2a578eb} (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> No action taken.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> No action taken.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr (Adware.Adrotator) -> No action taken.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr.1.0 (Adware.Adrotator) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\vpjwp.dll (Adware.EZlife) -> No action taken.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> No action taken.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
C:\Dokumente und Einstellungen\***\Startmenü\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.

CCleaner hat nach dreimal Registry-säubern nichts mehr gefunden.

OTL fragt mich nach dem Scan, ob es zwei neue Dateien erstellen soll, weil die Logfiles noch nicht existieren. Nach dem Bestätigen kommt zweimal das Editorfenster mit unbenannt.txt, beide Fenster bleiben aber leer.

merkwürdig.
ok dann versuche mal combofix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Combofix beschwert sich, dass AntiVir Desktop noch läuft, ich kann aber im TaskManager keine derartigen Anwendungen oder Prozesse finden.
Ich befinde mich immer noch im abgesicherten Modus. Ist mit Antivir Desktop ein anderer Schädling gemeint oder Avira?

dann überspringe die meldung.

Ok, Combofix hat gescannt und direkt ein paar Dateien und Ordner gelöscht. Beim selbständigen Neustart (im normalen Modus) kamen dann schonmal keine nervigen Popups mehr. Nur das Modul vpjwp.dll wird vermisst und für eine Datei ist plötzlich das richtige Programm zum öffnen nicht mehr bekannt. Die Datei heißt newreleaseversion70700.exe.vir - das müsste ja der Übeltäter sein.
Hier ist das log vom Combofix:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-08-04.05 - *** 05.08.2010  15:22:26.1.2 - x86 NETWORK
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.668 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\pswi_preloaded.exe
c:\dokumente und einstellungen\***\Anwendungsdaten\20ADD3200A2D7D09E0161988A11E8A72
c:\dokumente und einstellungen\***\Anwendungsdaten\20ADD3200A2D7D09E0161988A11E8A72\enemies-names.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\20ADD3200A2D7D09E0161988A11E8A72\local.ini
c:\dokumente und einstellungen\***\Anwendungsdaten\20ADD3200A2D7D09E0161988A11E8A72\lsrslt.ini
c:\dokumente und einstellungen\***\Anwendungsdaten\20ADD3200A2D7D09E0161988A11E8A72\newreleaseversion70700.exe
c:\dokumente und einstellungen\***\Anwendungsdaten\Cyqii
c:\dokumente und einstellungen\***\Anwendungsdaten\Cyqii\suuqu.exe
c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk
c:\dokumente und einstellungen\***\Anwendungsdaten\Zooni
c:\dokumente und einstellungen\***\Anwendungsdaten\Zooni\arusv.exe
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\aydkwmfyo
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\aydkwmfyo\nijpuhvtssd.exe
c:\programme\Internet Explorer\SET9D.tmp
c:\programme\Internet Explorer\SETA2.tmp
c:\windows\$NtUninstallMTF1011$
c:\windows\$NtUninstallMTF1011$\apUninstall.exe
c:\windows\$NtUninstallMTF1011$\zrpt.xml
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\AutoRun.inf
c:\windows\system32\ipjwp.exe
c:\windows\system32\rpjwp.dll
c:\windows\system32\Thumbs.db
c:\windows\system32\vpJWp.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-05 bis 2010-08-05  ))))))))))))))))))))))))))))))
.

2010-08-05 11:25 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-05 11:24 . 2010-08-05 11:56	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-05 11:24 . 2010-08-05 11:24	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-05 11:24 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-05 09:54 . 2010-08-05 13:31	783360	----a-w-	c:\windows\system32\drivers\bimijuu.sys
2010-08-03 18:28 . 2010-08-03 18:28	--------	d-----w-	c:\windows\Sun

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-05 13:32 . 2006-01-27 01:01	499186	----a-w-	c:\windows\system32\perfh007.dat
2010-08-05 13:32 . 2006-01-27 01:01	101550	----a-w-	c:\windows\system32\perfc007.dat
2010-08-03 18:09 . 2009-11-22 09:31	--------	d-----w-	c:\programme\Rossmann Fotoservice
2010-06-21 19:47 . 2010-06-21 19:47	--------	d-----w-	c:\programme\JRE
2010-06-21 19:47 . 2010-06-21 19:47	--------	d-----w-	c:\programme\OpenOffice.org 3
2010-06-21 19:47 . 2008-08-22 23:25	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-06-21 19:44 . 2010-06-19 15:37	--------	d-----w-	c:\programme\OpenOffice
2010-06-21 19:15 . 2008-08-22 23:31	--------	d-----w-	c:\programme\Corel
2010-06-21 19:14 . 2008-08-22 23:30	--------	d-----w-	c:\programme\Gemeinsame Dateien\Corel
2010-06-21 19:05 . 2008-10-03 17:37	88	--sh--r-	c:\windows\system32\7441024C73.sys
2010-06-21 19:05 . 2008-10-03 17:37	6266	--sha-w-	c:\windows\system32\KGyGaAvL.sys
2010-06-21 19:05 . 2008-10-09 19:01	88	--sh--r-	c:\windows\system32\F4A3227750.sys
2010-06-21 18:57 . 2008-08-22 23:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-06-20 15:28 . 2006-01-27 02:17	86327	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-06-20 15:16 . 2010-06-20 15:16	--------	d-----w-	c:\programme\Resource Kit
2010-06-19 16:21 . 2010-06-19 15:46	151343200	----a-w-	c:\programme\OOo_3.2.1_Win_x86_install_de.exe
2010-06-19 11:57 . 2008-08-22 23:49	--------	d-----w-	c:\programme\Microsoft.NET
2010-06-19 11:55 . 2008-08-22 23:56	--------	d-----w-	c:\programme\Microsoft Small Business
2010-06-19 11:35 . 2008-08-22 23:51	--------	d-----w-	c:\programme\Activation Assistant for the 2007 Microsoft Office suites
2010-06-19 11:23 . 2008-10-03 20:01	--------	d-----w-	c:\programme\Gemeinsame Dateien\Symantec Shared
2010-06-19 11:22 . 2008-10-03 20:01	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-12-13 12:38 . 2009-12-13 11:53	7919008	------w-	c:\programme\Firefox Setup 3.5.5.exe
2008-10-03 18:16 . 2008-10-04 00:25	25127104	------w-	c:\programme\antivir_workstation_winu_de_h.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LMab1err"="c:\programme\Lexmark\ErrorApp\LMab1err.exe" [2007-06-07 713648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2007-09-05 200704]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2007-09-05 208896]
"TPFNF7"="c:\programme\Lenovo\NPDIRECT\TPFNF7SP.exe" [2007-04-09 58416]
"TrackPointSrv"="tp4serv.exe" [2007-04-26 91184]
"TPHOTKEY"="c:\programme\Lenovo\HOTKEY\TPOSDSVC.exe" [2007-03-09 66176]
"TpShocks"="TpShocks.exe" [2007-09-28 181544]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2007-03-28 243248]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-07 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-07 162328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-07 137752]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2007-07-11 540672]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2006-02-02 122940]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"AwaySch"="c:\programme\Lenovo\AwayTask\AwaySch.EXE" [2006-11-07 91688]
"AMSG"="c:\programme\ThinkVantage\AMSG\Amsg.exe" [2007-02-01 419376]
"LPManager"="c:\progra~1\Lenovo\LENOVO~2\LPMGR.exe" [2007-07-12 124256]
"nmapp"="c:\programme\Pure Networks\Network Magic\nmapp.exe" [2007-03-14 321088]
"DiskeeperSystray"="c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-05-18 196696]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2007-07-05 413696]
"cssauth"="c:\programme\Lenovo\Client Security Solution\cssauth.exe" [2007-08-03 2630968]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Antimalware Doctor.lnk - c:\qoobox\Quarantine\C\Dokumente und Einstellungen\***\Anwendungsdaten\20ADD3200A2D7D09E0161988A11E8A72\newreleaseversion70700.exe.vir [2010-8-5 1051136]
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2007-2-27 561213]
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2008-8-23 50688]
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 07:37	34344	------w-	c:\programme\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2006-12-14 02:06	28672	------w-	c:\programme\Lenovo\HOTKEY\tphklock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Programme\\HP\\HP Software Update\\hpwucli.exe"=
"c:\\Programme\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\WINDOWS\\system32\\LMabcoms.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"67:UDP"= 67:UDP:DHCP-Discovery-Dienst

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundRouterRequest"= 0 (0x0)

R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [28.09.2007 16:28 19504]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.11.2009 23:47 108289]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [11.07.2007 20:38 569344]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [10.05.2007 18:34 22832]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [22.05.2007 15:59 30336]
S3 silabenm;SPORTident USB to UART Bridge Serial Port Enumerator Driver;c:\windows\system32\drivers\silabenm.sys [10.03.2009 21:50 17920]
S3 silabser;SPORTident USB to UART Bridge Driver;c:\windows\system32\drivers\silabser.sys [10.03.2009 21:50 60544]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - bimijuu

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2010-08-05 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-02-12 13:54]

2010-08-05 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2008-08-22 16:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://lenovo.live.com
uInternet Settings,ProxyServer = http=127.0.0.1:6522
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
IE: Öffnen mit WordPerfect - c:\programme\WordPerfect Office X3\Programs\WPLauncher.hta
FF - ProfilePath - c:\dokumente und einstellungen\B.Büchner\Anwendungsdaten\Mozilla\Firefox\Profiles\kk7hpylp.default\
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-btfuunwy - c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\aydkwmfyo\nijpuhvtssd.exe
HKCU-Run-{96197E8A-8FD1-367C-D39C-AF0BBFFCA91C} - c:\dokumente und einstellungen\***\Anwendungsdaten\Cyqii\suuqu.exe
HKCU-Run-newreleaseversion70700.exe - c:\dokumente und einstellungen\***\Anwendungsdaten\20ADD3200A2D7D09E0161988A11E8A72\newreleaseversion70700.exe
HKLM-Run-btfuunwy - c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\aydkwmfyo\nijpuhvtssd.exe
HKLM-Run-sta - vpjwp.dll
HKLM-Run-MChk - c:\windows\system32\ipjwp.exe
Notify-ACNotify - ACNotify.dll
AddRemove-$NtUninstallMTF1011$ - c:\windows\$NtUninstallMTF1011$\apUninstall.exe
AddRemove-SIVCCOMM&10C4&800A - c:\windows\system32\Silabs\DriverUninstaller.exe VCP CP210x Cardinal\SIVCCOMM&10C4&800A



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-08-05 15:29
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bimijuu]

.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1320)
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\programme\Lenovo\HOTKEY\tphklock.dll

- - - - - - - > 'explorer.exe'(3032)
c:\programme\Lenovo\Client Security Solution\tvtpwm_windows_hook.dll
c:\programme\Lenovo\Client Security Solution\tvt_passwordmanager.dll
c:\programme\Lenovo\Client Security Solution\css_banner.dll
c:\programme\Lenovo\Client Security Solution\csswait.dll
c:\windows\system32\cssuserdatadispatcher.dll
c:\programme\Lenovo\Client Security Solution\css_dlgcustompolicy.dll
c:\windows\system32\tvttsp.dll
c:\windows\system32\tcsrpc.dll
c:\programme\Gemeinsame Dateien\Lenovo\tvt_think_res.dll
c:\programme\Lenovo\Client Security Solution\css_think_res.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\IPSSVC.EXE
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\programme\Diskeeper Corporation\Diskeeper\DkService.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\windows\system32\PSIService.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\lenovo\system update\suservice.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\windows\System32\TPHDEXLG.exe
c:\programme\Lenovo\Rescue and Recovery\rrservice.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
c:\windows\system32\wdfmgr.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\Pure Networks\Network Magic\nmsrvc.exe
c:\programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\tp4serv.exe
c:\windows\system32\TpShocks.exe
c:\programme\Lenovo\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\Zoom\TpScrex.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\rundll32.exe
c:\programme\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\windows\system32\LMabcoms.exe
c:\programme\Lenovo\Client Security Solution\tvtpwm_tray.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\windows\system32\rundll32.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\programme\HP\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-05  15:34:04 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-05 13:34

Vor Suchlauf: 19 Verzeichnis(se), 124.466.245.632 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 123.530.911.744 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 8F6E527564860276DAAFD2BDCBB9F458
         

--- --- ---

Start programme zubehör, editor, kopiere rein.

stepdel::
Killall::
Rootkit::
c:\windows\system32\drivers\bimijuu.sys
driver::
bimijuu
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bimijuu]rechtsklick auf avira


Datei speichern unter, typ alle dateien, name
cfscript.txt
speichere sie dort ab, wo sich combofix.exe befindet.
ziehe cfscript auf combofix, programm startet, log posten.
rechtsklick avira schirm, guard deaktivieren.
öffne arbeitsplatz, dort laufwerk c:
rechtsklick auf qoobox.
wähle zu qoobox.rar oder zip hinzufügen, das archiv qoobox.zip oder rar an uns hochladen.
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html
machst du online banking oder änliches?

Ok, zip-Archiv ist hochgeladen. An dem Rechner wurde schonmal was mit Kreditkarte bezahlt, ist aber die Ausnahme. Onlinebanking wird am anderen Rechner gemacht.
hier kommt das Combofix-log:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-08-04.05 - *** 05.08.2010  16:51:36.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.445 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BIMIJUU
-------\Service_bimijuu


(((((((((((((((((((((((   Dateien erstellt von 2010-07-05 bis 2010-08-05  ))))))))))))))))))))))))))))))
.

2010-08-05 11:25 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-05 11:24 . 2010-08-05 11:56	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-05 11:24 . 2010-08-05 11:24	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-05 11:24 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-03 18:28 . 2010-08-03 18:28	--------	d-----w-	c:\windows\Sun

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-05 13:32 . 2006-01-27 01:01	499186	----a-w-	c:\windows\system32\perfh007.dat
2010-08-05 13:32 . 2006-01-27 01:01	101550	----a-w-	c:\windows\system32\perfc007.dat
2010-08-03 18:09 . 2009-11-22 09:31	--------	d-----w-	c:\programme\Rossmann Fotoservice
2010-06-21 19:47 . 2010-06-21 19:47	--------	d-----w-	c:\programme\JRE
2010-06-21 19:47 . 2010-06-21 19:47	--------	d-----w-	c:\programme\OpenOffice.org 3
2010-06-21 19:47 . 2008-08-22 23:25	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-06-21 19:44 . 2010-06-19 15:37	--------	d-----w-	c:\programme\OpenOffice
2010-06-21 19:15 . 2008-08-22 23:31	--------	d-----w-	c:\programme\Corel
2010-06-21 19:14 . 2008-08-22 23:30	--------	d-----w-	c:\programme\Gemeinsame Dateien\Corel
2010-06-21 19:05 . 2008-10-03 17:37	88	--sh--r-	c:\windows\system32\7441024C73.sys
2010-06-21 19:05 . 2008-10-03 17:37	6266	--sha-w-	c:\windows\system32\KGyGaAvL.sys
2010-06-21 19:05 . 2008-10-09 19:01	88	--sh--r-	c:\windows\system32\F4A3227750.sys
2010-06-21 18:57 . 2008-08-22 23:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-06-20 15:28 . 2006-01-27 02:17	86327	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-06-20 15:16 . 2010-06-20 15:16	--------	d-----w-	c:\programme\Resource Kit
2010-06-19 16:21 . 2010-06-19 15:46	151343200	----a-w-	c:\programme\OOo_3.2.1_Win_x86_install_de.exe
2010-06-19 11:57 . 2008-08-22 23:49	--------	d-----w-	c:\programme\Microsoft.NET
2010-06-19 11:55 . 2008-08-22 23:56	--------	d-----w-	c:\programme\Microsoft Small Business
2010-06-19 11:35 . 2008-08-22 23:51	--------	d-----w-	c:\programme\Activation Assistant for the 2007 Microsoft Office suites
2010-06-19 11:23 . 2008-10-03 20:01	--------	d-----w-	c:\programme\Gemeinsame Dateien\Symantec Shared
2010-06-19 11:22 . 2008-10-03 20:01	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-12-13 12:38 . 2009-12-13 11:53	7919008	------w-	c:\programme\Firefox Setup 3.5.5.exe
2008-10-03 18:16 . 2008-10-04 00:25	25127104	------w-	c:\programme\antivir_workstation_winu_de_h.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LMab1err"="c:\programme\Lexmark\ErrorApp\LMab1err.exe" [2007-06-07 713648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2007-09-05 200704]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2007-09-05 208896]
"TPFNF7"="c:\programme\Lenovo\NPDIRECT\TPFNF7SP.exe" [2007-04-09 58416]
"TrackPointSrv"="tp4serv.exe" [2007-04-26 91184]
"TPHOTKEY"="c:\programme\Lenovo\HOTKEY\TPOSDSVC.exe" [2007-03-09 66176]
"TpShocks"="TpShocks.exe" [2007-09-28 181544]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2007-03-28 243248]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-07 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-07 162328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-07 137752]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2007-07-11 540672]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2006-02-02 122940]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"AwaySch"="c:\programme\Lenovo\AwayTask\AwaySch.EXE" [2006-11-07 91688]
"AMSG"="c:\programme\ThinkVantage\AMSG\Amsg.exe" [2007-02-01 419376]
"LPManager"="c:\progra~1\Lenovo\LENOVO~2\LPMGR.exe" [2007-07-12 124256]
"nmapp"="c:\programme\Pure Networks\Network Magic\nmapp.exe" [2007-03-14 321088]
"DiskeeperSystray"="c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-05-18 196696]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2007-07-05 413696]
"cssauth"="c:\programme\Lenovo\Client Security Solution\cssauth.exe" [2007-08-03 2630968]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Antimalware Doctor.lnk - c:\qoobox\Quarantine\C\Dokumente und Einstellungen\***\Anwendungsdaten\20ADD3200A2D7D09E0161988A11E8A72\newreleaseversion70700.exe.vir [2010-8-5 1051136]
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2007-2-27 561213]
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2008-8-23 50688]
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 07:37	34344	------w-	c:\programme\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2006-12-14 02:06	28672	------w-	c:\programme\Lenovo\HOTKEY\tphklock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Programme\\HP\\HP Software Update\\hpwucli.exe"=
"c:\\Programme\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\WINDOWS\\system32\\LMabcoms.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"67:UDP"= 67:UDP:DHCP-Discovery-Dienst

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundRouterRequest"= 0 (0x0)

R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [28.09.2007 16:28 19504]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.11.2009 23:47 108289]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [11.07.2007 20:38 569344]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [10.05.2007 18:34 22832]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [22.05.2007 15:59 30336]
S3 silabenm;SPORTident USB to UART Bridge Serial Port Enumerator Driver;c:\windows\system32\drivers\silabenm.sys [10.03.2009 21:50 17920]
S3 silabser;SPORTident USB to UART Bridge Driver;c:\windows\system32\drivers\silabser.sys [10.03.2009 21:50 60544]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2010-08-05 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-02-12 13:54]

2010-08-05 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2008-08-22 16:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://lenovo.live.com
uInternet Settings,ProxyServer = http=127.0.0.1:6522
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
IE: Öffnen mit WordPerfect - c:\programme\WordPerfect Office X3\Programs\WPLauncher.hta
FF - ProfilePath - c:\dokumente und einstellungen\B.Büchner\Anwendungsdaten\Mozilla\Firefox\Profiles\kk7hpylp.default\
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-08-05 17:09
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(992)
c:\programme\Lenovo\HOTKEY\tphklock.dll

- - - - - - - > 'explorer.exe'(1028)
c:\programme\Lenovo\Client Security Solution\tvtpwm_windows_hook.dll
c:\programme\Lenovo\Client Security Solution\tvt_passwordmanager.dll
c:\programme\Lenovo\Client Security Solution\css_banner.dll
c:\programme\Lenovo\Client Security Solution\csswait.dll
c:\windows\system32\cssuserdatadispatcher.dll
c:\programme\Lenovo\Client Security Solution\css_dlgcustompolicy.dll
c:\windows\system32\tvttsp.dll
c:\windows\system32\tcsrpc.dll
c:\programme\Gemeinsame Dateien\Lenovo\tvt_think_res.dll
c:\programme\Lenovo\Client Security Solution\css_think_res.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\IPSSVC.EXE
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\programme\Diskeeper Corporation\Diskeeper\DkService.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\windows\system32\PSIService.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\lenovo\system update\suservice.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\windows\System32\TPHDEXLG.exe
c:\programme\Lenovo\Rescue and Recovery\rrservice.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
c:\windows\system32\wdfmgr.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\Pure Networks\Network Magic\nmsrvc.exe
c:\programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\tp4serv.exe
c:\windows\system32\TpShocks.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Lenovo\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\Zoom\TpScrex.exe
c:\programme\Microsoft ActiveSync\wcescomm.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\LMabcoms.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\programme\Lenovo\Client Security Solution\tvtpwm_tray.exe
c:\programme\HP\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-05  17:13:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-05 15:13
ComboFix2.txt  2010-08-05 13:34

Vor Suchlauf: 20 Verzeichnis(se), 123.507.974.144 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 123.494.682.624 Bytes frei

- - End Of File - - 66E05FB828491F241682F7EDB602AC5E
         

--- --- ---

Text gelöscht

Mehrfachpost gelöscht. Seite wurde bei mir nicht geladen, habs daher gleich dreimal geschrieben.

ok, jetzt update mal malwarebytes, über die registerkarte aktualisierung.
dann schalte alles an laufenden programmen ab, auch avira.
trenne die internetverbindung!
starte mit Malwarebytes nen komplett scan, poste das log nach löschen der funde und einschalten von avira + internet

das ist es:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4394

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.08.2010 18:29:56
mbam-log-2010-08-05 (18-29-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 225225
Laufzeit: 37 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{84c3c236-f588-4c93-84f4-147b2abbe67b} (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\SolutionAV (Rogue.AntivirSolutionPro) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sky-Banners\skb (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Street-Ads (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Street-Ads\sta (Adware.Adrotator) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\***\Anwendungsdaten\20ADD3200A2D7D09E0161988A11E8A72\newreleaseversion70700.exe.vir (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ipjwp.exe.vir (Trojan.Adware) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\rpjwp.dll.vir (Adware.BHO) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\vpjwp.dll.vir (Adware.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027211.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027219.exe (Trojan.Adware) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027220.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027221.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Startmenü\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.