Okay, da haben wir es:

Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  
  

  Code: Alles auswählenAufklappen

  ATTFilter

  Files::
  c:\windows\Tasks\DTQMHMWB.job
  c:\windows\system32\cfgmgr32J.dll
           

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

hier der Bericht:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-04-14.01 - torsten 14.04.2013  22:02:03.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.998.555 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\torsten\Desktop\NoMBR.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\torsten\Desktop\CFScript.txt
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-03-14 bis 2013-04-14  ))))))))))))))))))))))))))))))
.
.
2013-04-13 08:01 . 2013-04-13 08:00	105728	----a-w-	c:\windows\system32\drivers\avmaura.sys
2013-04-13 07:49 . 2013-04-13 07:49	--------	d-----w-	c:\programme\ESET
2013-04-13 07:05 . 2013-04-13 07:05	--------	d-----w-	c:\programme\Microsoft.NET
2013-04-12 21:54 . 2013-04-12 21:54	--------	d-----w-	c:\programme\WOT
2013-04-12 21:53 . 2013-04-12 21:53	--------	d-----w-	c:\programme\Secure Banking
2013-04-12 21:36 . 2013-04-12 21:36	--------	d-----w-	c:\windows\ERUNT
2013-04-12 19:55 . 2013-04-12 19:55	--------	d-----w-	c:\dokumente und einstellungen\torsten\Anwendungsdaten\Malwarebytes
2013-04-12 19:54 . 2013-04-12 19:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-04-12 19:54 . 2013-04-12 19:54	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2013-04-12 19:54 . 2013-04-04 12:50	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-04-12 10:07 . 2013-03-02 01:53	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2013-04-12 10:07 . 2013-03-02 01:53	55296	-c----w-	c:\windows\system32\dllcache\msfeedsbs.dll
2013-04-12 10:06 . 2013-03-02 01:53	630272	-c----w-	c:\windows\system32\dllcache\msfeeds.dll
2013-04-12 10:06 . 2013-03-02 01:53	522240	-c----w-	c:\windows\system32\dllcache\jsdbgui.dll
2013-04-12 10:06 . 2013-03-02 01:53	2004992	-c----w-	c:\windows\system32\dllcache\iertutil.dll
2013-04-12 10:06 . 2013-03-02 01:53	247808	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2013-04-12 10:06 . 2013-03-02 01:53	11111424	-c----w-	c:\windows\system32\dllcache\ieframe.dll
2013-04-12 10:06 . 2013-03-02 01:53	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2013-04-12 10:06 . 2013-02-12 00:32	12928	-c----w-	c:\windows\system32\dllcache\usb8023x.sys
2013-04-12 10:03 . 2011-07-15 13:29	456320	-c----w-	c:\windows\system32\dllcache\mrxsmb.sys
2013-04-12 09:58 . 2013-03-07 15:56	2195712	-c----w-	c:\windows\system32\dllcache\ntoskrnl.exe
2013-04-12 09:58 . 2013-03-07 15:56	2152448	-c----w-	c:\windows\system32\dllcache\ntkrnlmp.exe
2013-04-12 09:58 . 2013-03-07 15:56	2031104	-c----w-	c:\windows\system32\dllcache\ntkrpamp.exe
2013-04-12 09:57 . 2008-06-14 17:32	273024	-c----w-	c:\windows\system32\dllcache\bthport.sys
2013-04-12 09:54 . 2012-06-02 13:19	45080	----a-w-	c:\windows\system32\wups2.dll
2013-04-12 09:44 . 2013-04-12 09:44	--------	d-----w-	c:\dokumente und einstellungen\torsten\Anwendungsdaten\ElevatedDiagnostics
2013-04-12 09:21 . 2010-10-27 08:55	192512	----a-w-	c:\windows\system32\igfxres.dll
2013-04-12 09:10 . 2008-08-21 12:00	101376	-c--a-w-	c:\windows\system32\dllcache\srusbusd.dll
2013-04-12 09:09 . 2008-08-21 12:00	23040	-c--a-w-	c:\windows\system32\dllcache\lpdsvc.dll
2013-04-12 09:08 . 2008-08-21 12:00	16384	-c--a-w-	c:\windows\system32\dllcache\chgport.exe
2013-04-12 09:06 . 2008-08-21 12:00	16384	-c--a-w-	c:\windows\system32\dllcache\isignup.exe
2013-04-12 09:06 . 2008-08-21 12:00	16384	----a-w-	c:\programme\Internet Explorer\Connection Wizard\isignup.exe
2013-04-12 09:03 . 2008-04-14 05:52	28160	----a-w-	c:\windows\system32\irmon.dll
2013-04-12 09:03 . 2008-04-14 05:52	153088	----a-w-	c:\windows\system32\irftp.exe
2013-04-12 09:03 . 2008-04-14 05:52	8192	----a-w-	c:\windows\system32\wshirda.dll
2013-04-12 09:03 . 2008-04-13 22:24	88192	----a-w-	c:\windows\system32\drivers\irda.sys
2013-04-12 08:55 . 2001-08-17 11:51	19584	----a-w-	c:\windows\system32\drivers\rasirda.sys
2013-04-12 08:52 . 2008-08-21 12:00	24661	-c--a-w-	c:\windows\system32\dllcache\spxcoins.dll
2013-04-12 08:52 . 2008-08-21 12:00	24661	----a-w-	c:\windows\system32\spxcoins.dll
2013-04-12 08:52 . 2008-08-21 12:00	13824	-c--a-w-	c:\windows\system32\dllcache\irclass.dll
2013-04-12 08:52 . 2008-08-21 12:00	13824	----a-w-	c:\windows\system32\irclass.dll
2013-04-12 08:52 . 2008-08-21 12:00	16825	----a-r-	c:\windows\SET148.tmp
2013-04-12 08:52 . 2008-08-21 12:00	1088840	----a-r-	c:\windows\SET13C.tmp
2013-04-12 08:52 . 2008-08-21 12:00	1246463	----a-r-	c:\windows\SET139.tmp
2013-04-12 08:08 . 2013-04-12 08:08	--------	d-----w-	c:\dokumente und einstellungen\torsten\Anwendungsdaten\Avira
2013-04-12 08:03 . 2013-03-06 13:13	37352	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2013-04-12 08:03 . 2013-02-27 10:22	135136	----a-w-	c:\windows\system32\drivers\avipbb.sys
2013-04-12 08:03 . 2013-02-27 10:22	84744	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2013-04-12 08:01 . 2013-04-12 08:01	--------	d-----w-	c:\programme\Avira
2013-04-12 08:01 . 2013-04-12 08:01	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2013-04-11 16:50 . 2013-04-11 16:50	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2013-04-08 11:39 . 2013-04-08 11:39	94208	--sha-r-	c:\windows\system32\cfgmgr32J.dll
2013-04-01 13:16 . 2013-04-01 13:16	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe AIR
2013-04-01 13:16 . 2013-04-01 13:16	--------	d-----w-	c:\programme\devolo
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-04-12 16:47 . 2012-06-28 08:07	691592	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-04-12 16:47 . 2011-11-08 16:40	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-04-02 10:33 . 2011-11-08 17:33	237088	------w-	c:\windows\system32\MpSigStub.exe
2013-03-09 05:02 . 2013-03-09 05:03	94112	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2013-03-09 05:02 . 2013-03-09 05:03	143872	----a-w-	c:\windows\system32\javacpl.cpl
2013-03-09 05:02 . 2012-09-01 16:54	861088	----a-w-	c:\windows\system32\npdeployJava1.dll
2013-03-09 05:02 . 2011-11-28 19:20	782240	----a-w-	c:\windows\system32\deployJava1.dll
2013-03-08 08:36 . 2008-08-21 12:00	293888	----a-w-	c:\windows\system32\winsrv.dll
2013-03-07 15:56 . 2008-04-14 07:30	2031104	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-03-07 15:56 . 2008-08-21 12:00	2152448	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-03-02 01:57 . 2008-08-21 12:00	1867392	----a-w-	c:\windows\system32\win32k.sys
2013-03-02 01:53 . 2008-08-21 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2013-03-02 01:53 . 2008-08-21 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2013-03-02 01:53 . 2008-08-21 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2013-03-02 01:08 . 2008-08-21 12:00	385024	----a-w-	c:\windows\system32\html.iec
2013-02-27 07:56 . 2010-11-08 18:12	2067456	----a-w-	c:\windows\system32\mstscax.dll
2013-02-12 00:32 . 2008-08-21 12:00	12928	----a-w-	c:\windows\system32\drivers\usb8023.sys
2013-01-26 03:55 . 2008-08-21 12:00	552448	----a-w-	c:\windows\system32\oleaut32.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="c:\dokumente und einstellungen\torsten\Lokale Einstellungen\Apps\2.0\A9ONE7DZ.850\M3KW8ZKX.XW2\frit..tion_8488884cfbcefd60_0002.0003_f406d43803d5433d\AVMAutoStart.exe" [2013-04-13 139264]
"SecureBanking"="c:\programme\Secure Banking\SecureBanking.exe" [2012-09-10 372736]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2010-04-22 128296]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2010-04-22 1725736]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2013-03-19 345312]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2010-11-09 1036288]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-10-27 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-10-27 162328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-10-27 137752]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-08-21 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-12-03 07:35	946352	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-06-02 20:44	1660952	------w-	c:\programme\Messenger\Msmsgs.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\Msmsgs.exe"=
"c:\\Dokumente und Einstellungen\\torsten\\Lokale Einstellungen\\Apps\\2.0\\BKB3D5Z1.E3X\\2AR2A5TP.C5K\\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\\fritzbox-usb-fernanschluss.exe"=
"c:\\Dokumente und Einstellungen\\torsten\\Lokale Einstellungen\\Temp\\jivexviewer\\jre\\bin\\JiveX[dv] light"=
"c:\\Programme\\devolo\\dlan\\devolonetsvc.exe"=
"c:\\Dokumente und Einstellungen\\torsten\\Lokale Einstellungen\\Apps\\2.0\\A9ONE7DZ.850\\M3KW8ZKX.XW2\\frit..tion_8488884cfbcefd60_0002.0003_f406d43803d5433d\\fritzbox-usb-fernanschluss.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [12.04.2013 10:03 37352]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.04.2013 10:03 86752]
R2 DevoloNetworkService;devolo Network Service;c:\programme\devolo\dlan\devolonetsvc.exe [23.12.2010 11:41 3304768]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);c:\windows\system32\drivers\npf_devolo.sys [10.06.2010 12:32 35840]
R3 avmaudio;AVM Audio;c:\windows\system32\drivers\avmaudio.sys [08.01.2012 14:20 101248]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [13.04.2013 10:01 105728]
S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 12:58 11336]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-04-09 17:37	1642448	----a-w-	c:\programme\Google\Chrome\Application\26.0.1410.64\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-04-14 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-28 16:47]
.
2013-04-14 c:\windows\Tasks\DTQMHMWB.job
- c:\windows\system32\cfgmgr32J.dll [2013-04-08 11:39]
.
2013-04-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-09 10:16]
.
2013-04-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-09 10:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = 178.83.3.208:3128
uInternet Settings,ProxyOverride = <local>
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.178.1
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game.zylom.com/activex/zylomgamesplayer.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-04-14 22:10
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_169_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_169_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1140)
c:\windows\system32\igfxdev.dll
.
- - - - - - - > 'explorer.exe'(1624)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2013-04-14  22:12:01
ComboFix-quarantined-files.txt  2013-04-14 20:11
ComboFix2.txt  2013-04-14 19:14
.
Vor Suchlauf: 14 Verzeichnis(se), 90.403.069.952 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 90.422.968.320 Bytes frei
.
- - End Of File - - 14787609291D459B853BF0A789C291CE
         

Mfg
Torsten