Hallo.

Als ich gestern meinen Rechner hochfuhr, öffnete sich ein Fenster, in dem ich ein mir unbekanntes Setup ("setup[es folgten acht Ziffern].exe") bestätigen sollte. Nach dem Abbrechen öffnete sich das Fenster immer wieder neu, allerdings immer mit einer anderen Ziffernkombination. Außerdem meldete mein Antivir diverse Funde. Der IE öffnete sich nicht, sondern zeigte nur eine weiße Seite an. Firefox machte keine Probleme.
Ich habe daraufhin Antivir und Malwarebytes laufen lassen. Antivir hatte 2 Funde, Malwarebytes keinen.

Als ich den Rechner heute hochfuhr, erschien wieder einige Male oben erwähntes Setup, außerdem öffnete sich mehrfach ein englisches angebliches Vista Anti-Virus 2011 und führte ungefragt anscheinend einen Scan durch. Danach erhielt ich wiederholt Meldungen über eine deaktivierte Firewall.
Heute funktioniert IE insoweit, dass ich hier schreiben kann, stürzt allerdings von Zeit zu Zeit ab (daher komme ich leider auch nicht dazu, mich hier erstmal durch die anderen Themen zu lesen), woraufhin sich Vista Anti-Virus 2011 wieder öffnet. Mit Firefox öffnen sich die Seiten nicht, stattdessen erscheint eine Viruswarnung auf Englisch.

Ich hoffe, dass jemand damit etwas anfangen und mir helfen kann.

Ergänzung:
In meinem Benutzer-Ordner fand ich gerade die zwei Dateien "mvmgr" und "rsvhost", beide mit einem an ein Virenprogramm erinnerndes Symbol versehen, die definitiv nicht ich dort gespeichert habe.

Kann niemand helfen? Oder kann ich noch etwas dazu beitragen?

Zitat:

Antivir hatte 2 Funde, Malwarebytes keinen.

Bitte die Logs dazu posten, also von AntiVir und Malwarebytes, auch wenn keine Funde dabei waren.

Danke, spätestens am Sonntag nachmittag sollte ich Zeit für einen neuen Scan haben.

GMX meldete mir inzwischen, dass der Virus Zeus versucht hat, an meinen E-Mail-Account zu gelangen. Wie kann ich den Virus finden und entfernen, wenn Antivir und Malwarebytes ihn beide nicht zu erkennen scheinen?

So, hier die Logs der gestern gestarteten Scans:

Antivir:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 27. Mai 2011 23:51

Es wird nach 2770518 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ANDRÉ-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 27.04.2011 16:45:01
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 01:20:44
LUKE.DLL : 10.0.3.2 104296 Bytes 08.12.2010 17:45:34
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 22:57:09
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 17:47:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 20:27:21
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 17:01:57
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 17:01:57
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 17:01:57
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 17:01:57
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 17:01:57
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 17:01:57
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 17:01:57
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 17:01:57
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 17:01:57
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 17:01:57
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 17:39:28
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 18:54:03
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 18:54:06
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 17:03:02
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 11:40:09
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 11:40:10
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 16:45:01
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 17:11:49
VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 16:44:03
VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 19:02:58
VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 19:15:52
VBASE024.VDF : 7.11.7.218 133120 Bytes 11.05.2011 19:15:52
VBASE025.VDF : 7.11.7.234 139776 Bytes 11.05.2011 19:15:53
VBASE026.VDF : 7.11.8.16 147456 Bytes 13.05.2011 19:23:25
VBASE027.VDF : 7.11.8.46 169472 Bytes 17.05.2011 18:31:23
VBASE028.VDF : 7.11.8.109 181760 Bytes 24.05.2011 20:26:34
VBASE029.VDF : 7.11.8.158 191488 Bytes 27.05.2011 21:20:29
VBASE030.VDF : 7.11.8.159 2048 Bytes 27.05.2011 21:20:29
VBASE031.VDF : 7.11.8.160 2048 Bytes 27.05.2011 21:20:29
Engineversion : 8.2.5.6
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 16:46:53
AESCRIPT.DLL : 8.1.3.65 1606010 Bytes 27.05.2011 21:20:38
AESCN.DLL : 8.1.7.2 127349 Bytes 23.11.2010 16:10:37
AESBX.DLL : 8.2.1.33 323956 Bytes 24.05.2011 20:26:44
AERDL.DLL : 8.1.9.9 639347 Bytes 25.03.2011 23:03:50
AEPACK.DLL : 8.2.6.8 557430 Bytes 17.05.2011 18:31:32
AEOFFICE.DLL : 8.1.1.23 205178 Bytes 27.05.2011 21:20:36
AEHEUR.DLL : 8.1.2.122 3494263 Bytes 27.05.2011 21:20:36
AEHELP.DLL : 8.1.17.2 246135 Bytes 19.05.2011 19:12:19
AEGEN.DLL : 8.1.5.6 401780 Bytes 19.05.2011 19:12:16
AEEMU.DLL : 8.1.3.0 393589 Bytes 23.11.2010 16:10:29
AECORE.DLL : 8.1.21.1 196983 Bytes 24.05.2011 20:26:35
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 01:52:56
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 18:31:34
AVREG.DLL : 10.0.3.2 53096 Bytes 02.11.2010 21:17:42
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 27.04.2011 16:45:01
AVARKT.DLL : 10.0.22.6 231784 Bytes 08.12.2010 17:45:31
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 02.11.2010 21:17:42

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 27. Mai 2011 23:51

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '136' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '127' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil10k_ActiveX.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarUser_32.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'ciioy.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'ps_timer.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'MaAgent.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '150' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '339' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\$Recycle.Bin\S-1-5-21-594965113-2173993433-836915450-1001\$RA64XO3.exe
[FUND] Ist das Trojanische Pferd TR/Agent.dek
C:\$Recycle.Bin\S-1-5-21-594965113-2173993433-836915450-1001\$RAMCWIK.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.23682.6

Beginne mit der Desinfektion:
C:\$Recycle.Bin\S-1-5-21-594965113-2173993433-836915450-1001\$RAMCWIK.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.23682.6
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aa5c425.qua' verschoben!
C:\$Recycle.Bin\S-1-5-21-594965113-2173993433-836915450-1001\$RA64XO3.exe
[FUND] Ist das Trojanische Pferd TR/Agent.dek
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!


Ende des Suchlaufs: Samstag, 28. Mai 2011 04:38
Benötigte Zeit: 4:26:35 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

24036 Verzeichnisse wurden überprüft
352598 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
352596 Dateien ohne Befall
1327 Archive wurden durchsucht
0 Warnungen
2 Hinweise
631733 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Malewarebytes:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1400
Windows 6.0.6002 Service Pack 2

28.05.2011 04:39:06
mbam-log-2011-05-28 (04-39-06).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 214786
Laufzeit: 4 hour(s), 30 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1400

Mit dieser Steinzeitversion kann das auch nichts werden. Installier das aktuelle Malwarebytes und update auf DB-Version 6705 oder höher über den Updatebutton. Danach einen neuen Vollscan starten.

Ähm, okay. *schäm*

Das neue Log:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6714

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

29.05.2011 18:25:29
mbam-log-2011-05-29 (18-25-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 372059
Laufzeit: 2 Stunde(n), 27 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 43

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{64ABFBDE-EC9F-F606-D3C3-A2C17DC6A9C4} (Spyware.Passwords.XGen) -> Value: {64ABFBDE-EC9F-F606-D3C3-A2C17DC6A9C4} -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4XZU8D6I5BWIUZWVNLQ (Trojan.Agent) -> Value: 4XZU8D6I5BWIUZWVNLQ -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Vudafuz.zip (Trojan.SpyEyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Users\André\AppData\Roaming\Yhbio\isdu.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Vudafuz.zip\vudafuz.zip.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\C7ADF6DT\bosgwxbeff[1].htm (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\C7ADF6DT\sbsfwao[1].htm (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\FCRCQOE5\ivjwneei[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\PLAJUIQB\nnrfjmqeh[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\23E6.tmp (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup240535960.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup2452776856.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup2582675992.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup2586137376.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup2768459672.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup2811593504.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\D6A.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup1833927192.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup2023635232.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup2065745944.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup2145921824.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup2184306976.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup3445190424.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup3513222944.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup3527626136.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup3554582552.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup3611517984.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup3649922848.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup3728778264.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\trqwcc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup1263214368.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup1464698656.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup1549986200.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup1726112544.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup400216728.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup4211286816.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup4292760864.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup462170264.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup3169045792.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup3350123808.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup607222808.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup673506840.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup722256672.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Users\André\AppData\Local\Temp\setup888003608.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\André\Videos\deutsche emostute sonja weiãÿ wie sie sich zeigen muss\deutsche emostute sonja weiß wie sie sich zeigen muss\hanjobloggt.thumbblogger.com 2.jpg (Extension.Mismatch) -> Quarantined and deleted successfully.
c:\Vudafuz.zip\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully.


Das angebliche Setup meldet sich immer noch, und es öffnet sich ein Fenster "Vista Total Security has blocked a program from accessing the internet." Firefox is infected with 'Trojan-BNK.Win32.Keylogger.gen.'"

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Erledigt, hier das Ergebnis:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-05-28.01 - André 29.05.2011  19:09:20.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2047.1240 [GMT 2:00]
ausgeführt von:: c:\users\André\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\André\AppData\Local\byp.exe
c:\users\André\AppData\Roaming\Microsoft\Windows\Templates\485xqn8y4s7df518ifctg2323
c:\users\André\AppData\Roaming\Yhbio\isdu.exe
c:\users\André\nuohu.exe /K
c:\users\André\nuohu.exe
c:\users\André\qvpod.exe
c:\users\André\wvhost.exe
c:\users\André\zkel.exe
c:\windows\system32\muzapp.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-28 bis 2011-05-29  ))))))))))))))))))))))))))))))
.
.
2011-05-29 17:05 . 2011-05-29 17:05	--------	d-----w-	C:\32788R22FWJFW
2011-05-27 21:26 . 2011-05-09 20:46	6962000	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{B98D6897-6A4B-4CDB-81B7-34DB45248D5F}\mpengine.dll
2011-05-27 21:21 . 2011-05-27 21:21	335872	--sha-w-	c:\users\André\AppData\Local\bxl.exe
2011-05-25 16:48 . 2011-05-26 16:50	--------	d-----w-	c:\users\André\AppData\Roaming\xzndgxh1vzxvuqqal3spwqv3yvswyjan2
2011-05-25 16:48 . 2011-05-29 16:25	--------	d-----w-	c:\users\André\AppData\Roaming\Yhbio
2011-05-25 16:48 . 2011-05-26 23:24	--------	d-----w-	c:\users\André\AppData\Roaming\Gyagl
2011-05-24 20:28 . 2011-05-27 23:22	--------	d-----w-	c:\users\André\AppData\Roaming\xubm3fqek3k1mezbvuowqgdbpndycdhw2
2011-05-11 17:23 . 2011-04-07 12:01	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-27 21:21 . 2011-05-27 21:21	335872	--sha-w-	c:\users\André\AppData\Local\bxl.exe
2011-05-27 21:21 . 2011-05-27 21:21	335872	--sha-w-	c:\users\André\AppData\Local\bxl.exe
2011-04-14 01:39 . 2011-04-14 01:39	161792	----a-w-	c:\windows\system32\msls31.dll
2011-04-14 01:39 . 2011-04-14 01:39	1126912	----a-w-	c:\windows\system32\wininet.dll
2011-04-14 01:39 . 2011-04-14 01:39	86528	----a-w-	c:\windows\system32\iesysprep.dll
2011-04-14 01:39 . 2011-04-14 01:39	76800	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2011-04-14 01:39 . 2011-04-14 01:39	74752	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2011-04-14 01:39 . 2011-04-14 01:39	48640	----a-w-	c:\windows\system32\mshtmler.dll
2011-04-14 01:39 . 2011-04-14 01:39	74752	----a-w-	c:\windows\system32\iesetup.dll
2011-04-14 01:39 . 2011-04-14 01:39	63488	----a-w-	c:\windows\system32\tdc.ocx
2011-04-14 01:39 . 2011-04-14 01:39	367104	----a-w-	c:\windows\system32\html.iec
2011-04-14 01:39 . 2011-04-14 01:39	23552	----a-w-	c:\windows\system32\licmgr10.dll
2011-04-14 01:39 . 2011-04-14 01:39	1427456	----a-w-	c:\windows\system32\inetcpl.cpl
2011-04-14 01:39 . 2011-04-14 01:39	420864	----a-w-	c:\windows\system32\vbscript.dll
2011-04-14 01:39 . 2011-04-14 01:39	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2011-04-14 01:39 . 2011-04-14 01:39	152064	----a-w-	c:\windows\system32\wextract.exe
2011-04-14 01:39 . 2011-04-14 01:39	150528	----a-w-	c:\windows\system32\iexpress.exe
2011-04-14 01:39 . 2011-04-14 01:39	142848	----a-w-	c:\windows\system32\ieUnatt.exe
2011-04-14 01:39 . 2011-04-14 01:39	35840	----a-w-	c:\windows\system32\imgutil.dll
2011-04-14 01:39 . 2011-04-14 01:39	1797632	----a-w-	c:\windows\system32\jscript9.dll
2011-04-14 01:39 . 2011-04-14 01:39	11776	----a-w-	c:\windows\system32\mshta.exe
2011-04-14 01:39 . 2011-04-14 01:39	101888	----a-w-	c:\windows\system32\admparse.dll
2011-04-14 01:39 . 2011-04-14 01:39	110592	----a-w-	c:\windows\system32\IEAdvpack.dll
2011-03-19 23:55 . 2011-03-19 23:55	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-03-16 18:03 . 2009-06-29 17:56	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-03-12 21:55 . 2011-04-28 17:19	876032	----a-w-	c:\windows\system32\XpsPrint.dll
2011-03-10 17:03 . 2011-04-14 01:33	1162240	----a-w-	c:\windows\system32\mfc42u.dll
2011-03-10 17:03 . 2011-04-14 01:33	1136640	----a-w-	c:\windows\system32\mfc42.dll
2011-03-03 15:42 . 2011-04-14 01:33	739328	----a-w-	c:\windows\system32\inetcomm.dll
2011-03-03 15:40 . 2011-04-28 17:19	28672	----a-w-	c:\windows\system32\Apphlpdm.dll
2011-03-03 15:40 . 2011-04-28 17:19	173056	----a-w-	c:\windows\apppatch\AcXtrnal.dll
2011-03-03 15:40 . 2011-04-28 17:19	542720	----a-w-	c:\windows\apppatch\AcLayers.dll
2011-03-03 15:40 . 2011-04-28 17:19	458752	----a-w-	c:\windows\apppatch\AcSpecfc.dll
2011-03-03 15:40 . 2011-04-28 17:19	2159616	----a-w-	c:\windows\apppatch\AcGenral.dll
2011-03-03 13:35 . 2011-04-28 17:19	4240384	----a-w-	c:\windows\system32\GameUXLegacyGDFs.dll
2011-03-03 13:25 . 2011-04-14 01:33	2041856	----a-w-	c:\windows\system32\win32k.sys
2011-03-02 15:44 . 2011-04-14 01:33	86528	----a-w-	c:\windows\system32\dnsrslvr.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\program files\Softonic_Deutsch\tbSoft.dll" [2008-07-27 1606680]
.
[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
2008-07-27 19:11	1606680	----a-w-	c:\program files\Softonic_Deutsch\tbSoft.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\program files\Softonic_Deutsch\tbSoft.dll" [2008-07-27 1606680]
.
[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{8DBB6D8E-E4A6-4E3B-9753-AF78B226441C}"= "c:\program files\Softonic_Deutsch\tbSoft.dll" [2008-07-27 1606680]
.
[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"PhonostarTimer"="c:\program files\phonostar\ps_timer.exe" [2008-09-19 126976]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-10 39408]
"4XZU8D6I5BWIUZWVNLQ"="c:\vudafuz.zip\Vudafuz.zip.exe" [2010-10-15 290816]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 4468736]
"Skytel"="Skytel.exe" [2007-05-07 1826816]
"SMSTray"="c:\program files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-02-23 126976]
"MAAgent"="c:\program files\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 57344]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2010-03-28 202256]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-07-06 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-06 8466432]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-07-06 81920]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate1c9cc31ebc584af;Google Update Service (gupdate1c9cc31ebc584af);c:\program files\Google\Update\GoogleUpdate.exe [2009-05-03 133104]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2009-05-03 133104]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-12-20 38224]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 acedrv10;acedrv10;c:\windows\system32\drivers\acedrv10.sys [2007-07-27 330144]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2008-07-30 277736]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-27 136360]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2011-05-29 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-10 20:57]
.
2011-05-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-03 20:58]
.
2011-05-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-03 20:58]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: x7.to
TCP: Interfaces\{A0530C01-4878-4B12-8E7F-DB482E20A5D8}: NameServer = 195.50.140.116 195.50.140.180
FF - ProfilePath - c:\users\André\AppData\Roaming\Mozilla\Firefox\Profiles\afbrytqr.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\programdata\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-{64ABFBDE-EC9F-F606-D3C3-A2C17DC6A9C4} - c:\users\André\AppData\Roaming\Yhbio\isdu.exe
HKCU-Run-nuohu - c:\users\André\nuohu.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-29 19:23
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-594965113-2173993433-836915450-1001\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:4b,81,9c,25,d5,57,e6,95,6b,0d,88,d6,21,03,1c,82,c9,20,af,78,bd,70,fc,
   b3,ed,b9,7f,1a,54,2d,51,d4,65,c9,3d,48,1c,2e,59,94,86,9e,0a,06,3c,ed,bc,08,\
"??"=hex:ab,9d,a9,ce,b5,6e,ab,a8,c3,aa,00,cb,35,04,21,1c
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(3132)
c:\program files\MarkAny\ContentSafer\MaCSProHook.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\rundll32.exe
c:\windows\ehome\ehmsas.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-05-29  19:31:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-05-29 17:31
.
Vor Suchlauf: 8 Verzeichnis(se), 12.778.573.824 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 12.586.323.968 Bytes frei
.
- - End Of File - - 3D84F8939C0989E9678EAD8282083DC9
         

--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Folder::
C:\32788R22FWJFW
c:\users\André\AppData\Roaming\xzndgxh1vzxvuqqal3spwqv3yvswyjan2
c:\users\André\AppData\Roaming\Yhbio
c:\users\André\AppData\Roaming\Gyagl
c:\users\André\AppData\Roaming\xubm3fqek3k1mezbvuowqgdbpndycdhw2

File::
c:\users\André\AppData\Local\bxl.exe
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Was ist ein Notepad? Meinst Du den Textdokument-Editor?

Editor = notepad.exe

Hier das Log:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-05-30.05 - André 30.05.2011  21:58:25.3.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2047.1272 [GMT 2:00]
ausgeführt von:: c:\users\André\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\users\André\Desktop\CFScript.txt.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\users\André\AppData\Local\bxl.exe"
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\32788R22FWJFW
c:\users\André\AppData\Roaming\Gyagl
c:\users\André\AppData\Roaming\xubm3fqek3k1mezbvuowqgdbpndycdhw2
c:\users\André\AppData\Roaming\xzndgxh1vzxvuqqal3spwqv3yvswyjan2
c:\users\André\AppData\Roaming\Yhbio
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-28 bis 2011-05-30  ))))))))))))))))))))))))))))))
.
.
2011-05-30 20:11 . 2011-05-30 20:11	--------	d-----w-	c:\users\test\AppData\Local\temp
2011-05-30 20:11 . 2011-05-30 20:11	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-05-29 17:31 . 2011-05-30 20:12	--------	d-----w-	c:\users\André\AppData\Local\temp
2011-05-29 17:05 . 2011-05-29 17:31	--------	d-----w-	C:\cofi
2011-05-27 21:26 . 2011-05-09 20:46	6962000	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{B98D6897-6A4B-4CDB-81B7-34DB45248D5F}\mpengine.dll
2011-05-27 21:21 . 2011-05-27 21:21	335872	--sha-w-	c:\users\André\AppData\Local\bxl.exe
2011-05-11 17:23 . 2011-04-07 12:01	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-27 21:21 . 2011-05-27 21:21	335872	--sha-w-	c:\users\André\AppData\Local\bxl.exe
2011-05-27 21:21 . 2011-05-27 21:21	335872	--sha-w-	c:\users\André\AppData\Local\bxl.exe
2011-04-14 01:39 . 2011-04-14 01:39	161792	----a-w-	c:\windows\system32\msls31.dll
2011-04-14 01:39 . 2011-04-14 01:39	1126912	----a-w-	c:\windows\system32\wininet.dll
2011-04-14 01:39 . 2011-04-14 01:39	86528	----a-w-	c:\windows\system32\iesysprep.dll
2011-04-14 01:39 . 2011-04-14 01:39	76800	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2011-04-14 01:39 . 2011-04-14 01:39	74752	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2011-04-14 01:39 . 2011-04-14 01:39	48640	----a-w-	c:\windows\system32\mshtmler.dll
2011-04-14 01:39 . 2011-04-14 01:39	74752	----a-w-	c:\windows\system32\iesetup.dll
2011-04-14 01:39 . 2011-04-14 01:39	63488	----a-w-	c:\windows\system32\tdc.ocx
2011-04-14 01:39 . 2011-04-14 01:39	367104	----a-w-	c:\windows\system32\html.iec
2011-04-14 01:39 . 2011-04-14 01:39	23552	----a-w-	c:\windows\system32\licmgr10.dll
2011-04-14 01:39 . 2011-04-14 01:39	1427456	----a-w-	c:\windows\system32\inetcpl.cpl
2011-04-14 01:39 . 2011-04-14 01:39	420864	----a-w-	c:\windows\system32\vbscript.dll
2011-04-14 01:39 . 2011-04-14 01:39	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2011-04-14 01:39 . 2011-04-14 01:39	152064	----a-w-	c:\windows\system32\wextract.exe
2011-04-14 01:39 . 2011-04-14 01:39	150528	----a-w-	c:\windows\system32\iexpress.exe
2011-04-14 01:39 . 2011-04-14 01:39	142848	----a-w-	c:\windows\system32\ieUnatt.exe
2011-04-14 01:39 . 2011-04-14 01:39	35840	----a-w-	c:\windows\system32\imgutil.dll
2011-04-14 01:39 . 2011-04-14 01:39	1797632	----a-w-	c:\windows\system32\jscript9.dll
2011-04-14 01:39 . 2011-04-14 01:39	11776	----a-w-	c:\windows\system32\mshta.exe
2011-04-14 01:39 . 2011-04-14 01:39	101888	----a-w-	c:\windows\system32\admparse.dll
2011-04-14 01:39 . 2011-04-14 01:39	110592	----a-w-	c:\windows\system32\IEAdvpack.dll
2011-03-19 23:55 . 2011-03-19 23:55	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-03-16 18:03 . 2009-06-29 17:56	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-03-12 21:55 . 2011-04-28 17:19	876032	----a-w-	c:\windows\system32\XpsPrint.dll
2011-03-10 17:03 . 2011-04-14 01:33	1162240	----a-w-	c:\windows\system32\mfc42u.dll
2011-03-10 17:03 . 2011-04-14 01:33	1136640	----a-w-	c:\windows\system32\mfc42.dll
2011-03-03 15:42 . 2011-04-14 01:33	739328	----a-w-	c:\windows\system32\inetcomm.dll
2011-03-03 15:40 . 2011-04-28 17:19	28672	----a-w-	c:\windows\system32\Apphlpdm.dll
2011-03-03 15:40 . 2011-04-28 17:19	173056	----a-w-	c:\windows\apppatch\AcXtrnal.dll
2011-03-03 15:40 . 2011-04-28 17:19	542720	----a-w-	c:\windows\apppatch\AcLayers.dll
2011-03-03 15:40 . 2011-04-28 17:19	458752	----a-w-	c:\windows\apppatch\AcSpecfc.dll
2011-03-03 15:40 . 2011-04-28 17:19	2159616	----a-w-	c:\windows\apppatch\AcGenral.dll
2011-03-03 13:35 . 2011-04-28 17:19	4240384	----a-w-	c:\windows\system32\GameUXLegacyGDFs.dll
2011-03-03 13:25 . 2011-04-14 01:33	2041856	----a-w-	c:\windows\system32\win32k.sys
2011-03-02 15:44 . 2011-04-14 01:33	86528	----a-w-	c:\windows\system32\dnsrslvr.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\program files\Softonic_Deutsch\tbSoft.dll" [2008-07-27 1606680]
.
[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
2008-07-27 19:11	1606680	----a-w-	c:\program files\Softonic_Deutsch\tbSoft.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\program files\Softonic_Deutsch\tbSoft.dll" [2008-07-27 1606680]
.
[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{8DBB6D8E-E4A6-4E3B-9753-AF78B226441C}"= "c:\program files\Softonic_Deutsch\tbSoft.dll" [2008-07-27 1606680]
.
[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"PhonostarTimer"="c:\program files\phonostar\ps_timer.exe" [2008-09-19 126976]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-10 39408]
"4XZU8D6I5BWIUZWVNLQ"="c:\vudafuz.zip\Vudafuz.zip.exe" [2010-10-15 290816]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 4468736]
"Skytel"="Skytel.exe" [2007-05-07 1826816]
"SMSTray"="c:\program files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-02-23 126976]
"MAAgent"="c:\program files\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 57344]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2010-03-28 202256]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-07-06 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-06 8466432]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-07-06 81920]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate1c9cc31ebc584af;Google Update Service (gupdate1c9cc31ebc584af);c:\program files\Google\Update\GoogleUpdate.exe [2009-05-03 133104]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2009-05-03 133104]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-12-20 38224]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 acedrv10;acedrv10;c:\windows\system32\drivers\acedrv10.sys [2007-07-27 330144]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2008-07-30 277736]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-27 136360]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2011-05-30 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-10 20:57]
.
2011-05-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-03 20:58]
.
2011-05-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-03 20:58]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: x7.to
TCP: Interfaces\{A0530C01-4878-4B12-8E7F-DB482E20A5D8}: NameServer = 195.50.140.116 195.50.140.180
FF - ProfilePath - c:\users\André\AppData\Roaming\Mozilla\Firefox\Profiles\afbrytqr.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\programdata\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-30 22:12
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-594965113-2173993433-836915450-1001\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:4b,81,9c,25,d5,57,e6,95,6b,0d,88,d6,21,03,1c,82,c9,20,af,78,bd,70,fc,
   b3,ed,b9,7f,1a,54,2d,51,d4,65,c9,3d,48,1c,2e,59,94,86,9e,0a,06,3c,ed,bc,08,\
"??"=hex:ab,9d,a9,ce,b5,6e,ab,a8,c3,aa,00,cb,35,04,21,1c
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(1104)
c:\program files\MarkAny\ContentSafer\MaCSProHook.DLL
.
Zeit der Fertigstellung: 2011-05-30  22:17:04
ComboFix-quarantined-files.txt  2011-05-30 20:17
ComboFix2.txt  2011-05-29 19:50
ComboFix3.txt  2011-05-29 17:31
.
Vor Suchlauf: 14 Verzeichnis(se), 12.395.503.616 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 12.371.578.880 Bytes frei
.
- - End Of File - - F32AF8CC4278172AC4072A7953ADE44B
         

--- --- ---

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\users\André\AppData\Local\bxl.exe
c:\vudafuz.zip

Folders to delete:
c:\vudafuz.zip
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken

Hier das Logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\users\André\AppData\Local\bxl.exe" deleted successfully.

Error: "c:\vudafuz.zip" is a folder, not a file!
Deletion of file "c:\vudafuz.zip" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

Folder "c:\vudafuz.zip" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



Und der Link: hxxp://www.file-upload.net/download-3473533/backup.zip.html

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes