hi rea,

konnte jetzt wieder auf die externe Festplatte zugreifen.
Hier die malware logfile:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5489

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.01.2011 18:52:52
mbam-log-2011-01-12 (18-52-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (F:\|)
Durchsuchte Objekte: 185535
Laufzeit: 8 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


gruß
yussi28

Okay, dann gehts jetzt so weiter. Es ist wichtig, dass du vor dem nächsten Schritt dein AVG deinstallierst. Nach dem Scan kannst du es wieder installieren.




ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Danke @ Larusso
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hi rea,

hier ist der logfile von CoFi:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-01-14.01 - Yusuf 14.01.2011  23:42:28.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1271.881 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Yusuf\Desktop\CoFi.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\Yusuf\LOKALE~1\Temp\tmp4.tmp
c:\dokumente und einstellungen\Hala\Desktop\Internet Explorer.lnk
c:\dokumente und einstellungen\Yusuf\Lokale Einstellungen\Temp\tmp4.tmp

.
(((((((((((((((((((((((   Dateien erstellt von 2010-12-14 bis 2011-01-14  ))))))))))))))))))))))))))))))
.

2011-01-14 22:20 . 2011-01-14 22:20	--------	d-----w-	c:\programme\CCleaner
2011-01-10 22:07 . 2011-01-10 22:07	--------	d-----w-	c:\windows\system32\LogFiles
2011-01-10 21:31 . 2011-01-10 21:31	--------	d-----w-	c:\dokumente und einstellungen\Hüsna\Anwendungsdaten\AVG10
2011-01-10 21:31 . 2011-01-10 21:31	--------	d-----w-	c:\dokumente und einstellungen\Hüsna\Anwendungsdaten\Malwarebytes
2011-01-10 21:30 . 2011-01-10 21:30	--------	d-----w-	c:\dokumente und einstellungen\Abdullah\Anwendungsdaten\AVG10
2011-01-10 21:30 . 2011-01-10 21:30	--------	d-----w-	c:\dokumente und einstellungen\Abdullah\Anwendungsdaten\Malwarebytes
2011-01-10 21:30 . 2011-01-10 21:30	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2011-01-09 21:02 . 2011-01-09 21:02	--------	d-----w-	c:\programme\ESET
2011-01-09 19:57 . 2011-01-09 19:57	--------	d-----w-	c:\dokumente und einstellungen\Yusuf\Anwendungsdaten\Malwarebytes
2011-01-09 19:57 . 2011-01-09 19:57	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-09 19:57 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-09 19:57 . 2011-01-09 19:57	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-01-09 19:57 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-08 00:02 . 2011-01-08 00:02	--------	d-----w-	C:\_OTL
2011-01-01 22:07 . 2011-01-01 22:07	--------	d-----w-	c:\dokumente und einstellungen\Yusuf\Anwendungsdaten\Uniblue
2011-01-01 22:07 . 2011-01-01 22:07	--------	d-----w-	c:\dokumente und einstellungen\Yusuf\Lokale Einstellungen\Anwendungsdaten\PackageAware
2010-12-31 21:47 . 2011-01-13 21:43	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-12-31 21:28 . 2010-12-31 21:28	--------	d-----w-	C:\$AVG
2010-12-30 14:55 . 2010-12-30 14:55	--------	d-----w-	c:\dokumente und einstellungen\Yusuf\Anwendungsdaten\AVG10
2010-12-30 14:54 . 2010-12-30 14:54	--------	d--h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Common Files
2010-12-30 14:51 . 2011-01-14 22:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG10
2010-12-30 14:50 . 2011-01-13 21:44	--------	d-----w-	c:\programme\AVG
2010-12-30 14:49 . 2010-12-30 14:50	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MFAData
2010-12-23 19:55 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2010-12-23 19:54 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-18 18:12 . 2010-05-12 21:59	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-12 17:53 . 2010-06-14 15:27	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-12 15:34 . 2010-06-14 15:27	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-11-09 14:51 . 2010-05-12 21:59	249856	----a-w-	c:\windows\system32\odbc32.dll
2010-11-06 00:21 . 2004-08-05 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2004-08-05 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2004-08-05 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2004-08-05 12:00	385024	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2010-05-12 21:59	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2010-05-12 21:59	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2010-05-12 21:59	1853440	----a-w-	c:\windows\system32\win32k.sys
2005-09-14 09:58 . 2005-11-07 08:54	20480	----a-w-	c:\programme\Gemeinsame Dateien\UninstallDrv.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2009-04-29 268800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-05 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-04-05 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-05 114688]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2009-04-29 268800]

c:\dokumente und einstellungen\Yusuf\Startmen�\Programme\Autostart\
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
RC.lnk - c:\programme\C&E\DTV\RC.exe [2005-11-7 49152]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-9-4 65588]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	\0

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [03.05.2010 19:29 61440]
S3 AF05BDA;AF9005 BDA Device;c:\windows\system32\drivers\AF05BDA.sys [03.05.2010 18:08 122752]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [03.05.2010 19:29 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [03.05.2010 19:29 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [03.05.2010 19:28 19200]
.
Inhalt des "geplante Tasks" Ordners

2011-01-14 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-05-13 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
HKLM-Run-Cmaudio - cmicnfg.cpl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-14 23:47
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(288)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\wscntfy.exe
c:\windows\system32\RunDll32.exe
c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-01-14  23:51:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-01-14 22:51

Vor Suchlauf: 7 Verzeichnis(se), 53.496.934.400 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 53.592.936.448 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - FAB7B1029CFFE877E777C73CDC1E79D5
         

--- --- ---


gruß
yussi28

Okay, dann hab ich hier die letzten Schritte für dich


1.) Windowsupdates

Besuche bitte mit dem Internet Explorer die Microsoftupdate-Seite und lade dir über die Benutzerdefinierte Suche alle angebotenen Updates herunter.

Alternativ kannst du dir die Updates auch mit dem Mozilla Firefox laden, du benötigst dafür aber das AddOn IE View.





2.) Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Doppelklick auf OTL.exe um das Programm auszuführen.
• Klicke auf den Button "CleanUp!"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.






3.) Systemwiederherstellung leeren

• Start --> Alle Programme--> Zubehör --> Systemprogramme --> Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe den Punkt einen merkbaren Namen ( z.B. Bereinigung) ein --> Erstellen --> Schließen.
• Start --> Ausführen --> cleanmgr (reinschreiben) --> OK --> Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja --> OK

Und für die Zukunft: Sicherheit im Internet

Hio rea,

habe alles durchgeführt, cofi ist noch da.
Vielen Dank nochmals, jetzt läuft der PC wieder "bombastisch"!
Habe noch einen neueren PC mit Win7, könntest Du hier auch mal drüberschauen? Bekomme immer eine Meldung von Mc Affee, dass ich diesen registrieren muß, da ich sonst keinen ausreichenden Schutz habe. Habe bisher immer weggedrückt, weil ich denke, dass es mit Kosten verbunden ist.
Kannst Du mir da einen Tip geben?

gruß yussi28

Achja Combofix, mach bitte noch das hier auf dem System:



Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix /Uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.

Zitat:

Bekomme immer eine Meldung von Mc Affee, dass ich diesen registrieren muß, da ich sonst keinen ausreichenden Schutz habe.

Nimm lieber Avira Antivir in der Free Edition. Da wird soweit ich weiß auch nach einer Registrierung gefragt, aber die muss man nicht machen und kann einfach die Punkte bei der Auswahl entfernen. Hast du denn Probleme mit dem Rechner?

Hallo rea,

habe jetzt auch ComboFix nicht mehr auf dem Rechner.
Muss ich denn Mc Affee deinstallieren, wenn ich auif meinem neuen Rerchner Avira installiere? Habe eigentlich so keine Probleme mit dem Rechner.
Ich danke Dir für Deine unermüdliche Mühe, würde mir wünschen, dass ich auch Dir helfen könnte.
Bist Du beruflich auch in der "Computer-Branche?
Auf jedenfall wünsche ich Dir viel Erfolg!

gruß
yussi28

Ja, man sollte nie zwei Antivirenprogramme auf einem Rechner laufen lassen.

Beruflich hab ich mit Computern nichts zu tun, ich mach das nur in meiner Freizeit