Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Guten Abend,

Combofix liefert folgendes Log:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-02-21.02 - Binchen 21.02.2012  20:16:40.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1014.562 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Binchen\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-01-21 bis 2012-02-21  ))))))))))))))))))))))))))))))
.
.
2012-02-20 17:21 . 2012-02-20 17:21	--------	d-----w-	C:\_OTL
2012-02-19 19:31 . 2012-02-19 19:31	--------	d-----w-	c:\programme\ESET
2012-02-19 14:12 . 2012-02-19 14:12	--------	d-----w-	c:\dokumente und einstellungen\Binchen\Anwendungsdaten\Malwarebytes
2012-02-19 14:12 . 2012-02-19 14:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-02-19 14:12 . 2011-12-10 14:24	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-02-19 14:12 . 2012-02-19 14:12	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-02-19 14:06 . 2012-02-19 14:06	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2012-02-19 14:06 . 2012-02-19 14:06	--------	d-sh--w-	c:\dokumente und einstellungen\Binchen\IETldCache
2012-02-19 13:54 . 2011-08-16 10:45	6144	-c----w-	c:\windows\system32\dllcache\iecompat.dll
2012-02-19 13:54 . 2011-12-17 19:43	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2012-02-19 13:53 . 2011-12-17 19:43	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2012-02-19 13:53 . 2011-12-17 19:43	247808	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2012-02-19 13:52 . 2012-02-19 13:53	--------	dc-h--w-	c:\windows\ie8
2012-02-19 13:28 . 2012-01-11 19:06	3072	-c----w-	c:\windows\system32\dllcache\iacenc.dll
2012-02-19 13:28 . 2012-01-11 19:06	3072	------w-	c:\windows\system32\iacenc.dll
2012-02-15 18:20 . 2012-02-15 18:20	--------	d-----w-	c:\windows\system32\NtmsData
2012-02-15 18:19 . 2012-02-15 18:19	--------	d-----w-	c:\dokumente und einstellungen\Binchen\Anwendungsdaten\Avira
2012-02-15 17:53 . 2012-02-15 17:53	--------	d-----w-	c:\programme\CCleaner
2012-02-15 17:52 . 2012-02-15 17:59	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2012-02-15 17:52 . 2012-02-15 17:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2012-02-15 17:50 . 2012-02-15 17:50	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-15 17:43 . 2012-02-15 17:43	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Startmenü
2012-02-15 17:42 . 2012-01-31 07:56	137416	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-02-15 17:42 . 2011-09-16 15:08	36000	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-02-15 17:42 . 2012-02-15 17:42	--------	d-----w-	c:\programme\Avira
2012-02-15 17:42 . 2012-02-15 17:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-31 07:56 . 2009-03-18 20:28	74640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-01-12 17:20 . 2009-01-20 12:08	1860096	----a-w-	c:\windows\system32\win32k.sys
2011-12-19 08:08 . 2011-12-19 08:08	78336	------w-	c:\windows\system32\ieencode.dll
2011-12-17 19:43 . 2009-01-20 12:08	916992	----a-w-	c:\windows\system32\wininet.dll
2011-12-17 19:43 . 2009-01-20 12:08	43520	------w-	c:\windows\system32\licmgr10.dll
2011-12-17 19:43 . 2009-01-20 12:08	1469440	------w-	c:\windows\system32\inetcpl.cpl
2011-12-16 12:22 . 2009-01-20 12:08	385024	------w-	c:\windows\system32\html.iec
2011-11-25 21:57 . 2009-01-20 12:08	293888	----a-w-	c:\windows\system32\winsrv.dll
2010-04-16 11:43	634656	--sha-w-	c:\windows\BricoPacks\SysFiles\150_iexplore.exe
2010-04-16 11:43	634656	--sha-w-	c:\windows\BricoPacks\SysFiles\151_iexplore.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CursorXP"="c:\program files\CursorXP\CursorXP.exe" [2005-01-19 128000]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-04-15 178712]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-11-20 1398056]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2008-12-30 875016]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-14 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"PLFSetL"="c:\windows\PLFSetL.exe" [2008-07-03 94208]
"snp2uvc"="c:\windows\system32\csnp2uvc.dll" [2008-11-03 196608]
"RTHDCPL"="RTHDCPL.EXE" [2009-04-18 18081280]
"AzMixerSel"="c:\programme\Realtek\Audio\Drivers\AzMixerSel.exe" [2009-04-18 53248]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-01-31 258512]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Acer VCM.lnk - c:\programme\Acer\Acer VCM\AcerVCM.exe [2009-1-20 565248]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2007-11-1 576104]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\miranda-im-v0.7.17-unicode\\miranda32.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Acer\\Acer VCM\\VC.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [15.02.2012 18:42 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.02.2012 18:42 86224]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [19.02.2012 15:12 652360]
R2 RS_Service;Raw Socket Service;c:\programme\Acer\Acer VCM\RS_Service.exe [20.01.2009 05:53 237568]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [19.02.2012 15:12 20464]
S3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RTS5121.sys --> c:\windows\system32\Drivers\RTS5121.sys [?]
S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = 
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 82.212.62.62 78.42.43.62
FF - ProfilePath - c:\dokumente und einstellungen\Binchen\Anwendungsdaten\Mozilla\Firefox\Profiles\d6wy7tlc.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Personas: personas@christopher.beard - %profile%\extensions\personas@christopher.beard
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-ProductReg - c:\programme\Acer\WR_PopUp\ProductReg.exe
AddRemove-Free YouTube to Mp3 Converter_is1 - c:\programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe
AddRemove-ICQToolbar - c:\programme\ICQ6Toolbar\ICQUnToolbar.exe
AddRemove-Uninstall_is1 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-02-21 20:23
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2812)
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2012-02-21  20:25:47
ComboFix-quarantined-files.txt  2012-02-21 19:25
.
Vor Suchlauf: 12 Verzeichnis(se), 133.638.946.816 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 133.848.657.920 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - C51C766B07BAF841E16D1B294480BD29