das ergebnis lautet:

0 bytes size received / Se ha recibido un archivo vacio

Denke daran, während des Laufs von Combofix wieder Dein Antiviren-Programm temporär abzustellen. Danach wieder anstellen nicht vergessen!

1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
   
   Code: Alles auswählenAufklappen

   ATTFilter

   File::
   C:\WINDOWS\system32\drivers\Npv70.sys
   Registry::
   [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Npv70.sys]
            

2. Speichere dies als CFScript.txt auf Deinem Desktop
   
   
   
3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
   NB: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


gruß

schrauber

so...das hätten wir dann auch.

Zitat:

ComboFix 08-07-14.2 - Yeah 2008-07-15 19:08:43.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.628 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Yeah\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Yeah\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\drivers\Npv70.sys
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\drivers\Npv70.sys

----- BITS: Possible infected sites -----

hxxp://fixaserver.ru
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TCPSR
-------\Legacy_Npv70
-------\Service_Npv70


((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 ))))))))))))))))))))))))))))))
.

2008-07-14 20:46 . 2008-07-14 20:46 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-14 20:46 . 2008-07-14 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Malwarebytes
2008-07-14 20:46 . 2008-07-14 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-14 20:46 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-14 20:46 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-14 19:59 . 2008-07-14 19:59 <DIR> d-------- C:\Deckard
2008-07-14 18:57 . 2008-07-14 18:57 <DIR> d-------- C:\Programme\Trend Micro
2008-07-14 18:35 . 2008-07-14 18:35 <DIR> d-------- C:\Programme\CCleaner
2008-06-20 19:39 . 2008-06-20 19:39 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 12:44 . 2008-06-20 12:44 138,368 -----c--- C:\WINDOWS\system32\dllcache\afd.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-14 00:39 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\skypePM
2008-07-14 00:39 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Skype
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 15:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 10:57 --------- d-----w C:\Programme\Garritan Personal Orchestra
2008-06-09 22:13 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Move Networks
2008-06-05 22:45 --------- d-----w C:\Programme\Skype
2008-06-05 22:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-06-05 22:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-06-04 15:15 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\DivX
2008-06-01 22:12 --------- d-----w C:\Programme\Logitech
2008-05-28 18:32 --------- d-----w C:\Programme\DivX
2008-05-28 18:28 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-05-28 18:17 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-28 18:17 --------- d-----w C:\Programme\Veoh Networks
2008-05-18 14:26 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Winamp
.

((((((((((((((((((((((((((((( snapshot@2008-07-15_16.19.11.98 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-15 14:15:33 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-07-15 17:08:28 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-07-15 14:15:33 294,912 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-15 17:08:37 327,680 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-07-15 14:15:33 81,920 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-07-15 17:08:28 98,304 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2008-07-15 14:15:33 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008071520080716\index.dat
+ 2008-07-15 17:08:28 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008071520080716\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-05-15 16:11 3644464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 15:18 307200]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 22:46 624248]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Npv70.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-22 12:22 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.EXE" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"LVCOMSX"=C:\WINDOWS\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"C:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"C:\\Programme\\Autodesk\\Backburner\\server.exe"=
"C:\\Programme\\Autodesk\\3ds Max 2008\\3dsmax.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Dokumente und Einstellungen\\Yeah\\Desktop\\emule\\emule.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-27 19:41]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-07-11 19:31:52 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-15 19:12:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\devldr32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-15 19:16:06 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-15 17:15:03
ComboFix2.txt 2008-07-15 14:20:30

8 Verzeichnis(se), 1,764,954,112 Bytes frei
9 Verzeichnis(se), 1,755,869,184 Bytes frei

148 --- E O F --- 2008-07-09 15:12:00

Hi,

Folge bitte der CCleaner Anleitung und mache danach einen Onlinescan:

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss IETab oder IEView als Addon installiert sein und Du musst die Seite in diesem Tab aufrufen.

• Kaspersky Online Scanner - Hinweise zu älteren Versionen beachten!
  Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
  Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
  => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
  => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als...
  => Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern => Log hier posten.
  => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

gruß

schrauber

scheint als würde es noch ne weile dauern.
da ich wieder zur arbeit muss, melde ich mich dann morgen früh wieder.

status bis jetzt:
vier viren und neun infizierte objekte.

alles klar