Hallo!

Ich habe hier zwar schon ähnliche Threads gefunden, aber die Probleme waren immer minimal anders, so dass ich Angst hatte, den Anweisungen dort zu folgen, weil ich absolut kein Fachmann bin und denke, dass man je nach Fall individuell handeln muss um nicht noch Schlimmeres anzurichten.
Wir haben laut Antivir den Trojaner TR/Agent.25600.24
Über Google habe ich herausgefunden, dass es ein Trojaner ist, der Onlinebanking-Daten ausspioniert - von meinem Laptop aus habe ich sofort meine Bank informiert (bislang ist aber kein Geldtransfer passiert, der nicht von mir gewollt wäre). Der Trojaner ist wohl auch schon seit mehr als 3 Wochen auf der Festplatte (ich selbst hatte nicht an dem Heim-PC gearbeitet und der Rest meiner Familie hatte das "nicht bemerkt").
Seit ähnlich langer Zeit erscheint auch beim Hochfahren des Computers folgende Meldung (ich denke, es gibt einen Zusammenhang zwischen Meldung und Virus):

"Die Anwendung oder DLL C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe\Update\32.vid.dat ist keine gültige Windows-Datei. Überprüfen Sie dies mit der Installationsdiskette."

wenn man dann auf "ok" klickt, erscheint Folgendes:

"Fehler beim Laden von C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe\Update\32.vid.dat%1 ist keine zulässige Win32-Anwendung"

Ebenfalls über google fand ich, dass man bei Start--> Ausführen mit "sfc /Scannow" herausfinden kann, ob eine Original-Windows-Datei beschädigt sei - das scheint sie aber nicht zu sein, denn nach dem Scan kam keine Meldung.

Ich hoffe, es gibt eine andere Möglichkeit als das System platt zu machen. Ich bedanke mich schon im Voraus herzlich für die Hilfe.


Das hier ist der Report von Antivir:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 28. Februar 2010 18:49

Es wird nach 1796891 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : ******
Computername : *****

Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.01.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 21.11.2009 12:59:06
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 12:59:05
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 12:59:05
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:00:46
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 22:09:55
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 22:09:56
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 22:09:56
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 22:09:56
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 22:09:56
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 22:09:56
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 22:09:56
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 22:09:56
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 22:09:56
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 22:09:56
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 22:09:56
VBASE014.VDF : 7.10.3.122 172544 Bytes 29.01.2010 18:22:30
VBASE015.VDF : 7.10.3.149 79872 Bytes 01.02.2010 18:22:30
VBASE016.VDF : 7.10.3.174 68608 Bytes 03.02.2010 18:49:08
VBASE017.VDF : 7.10.3.199 76800 Bytes 04.02.2010 18:49:08
VBASE018.VDF : 7.10.3.222 64512 Bytes 05.02.2010 16:41:37
VBASE019.VDF : 7.10.3.243 75776 Bytes 08.02.2010 16:41:37
VBASE020.VDF : 7.10.4.6 81920 Bytes 09.02.2010 20:04:42
VBASE021.VDF : 7.10.4.30 78848 Bytes 11.02.2010 13:42:13
VBASE022.VDF : 7.10.4.50 107520 Bytes 15.02.2010 13:42:15
VBASE023.VDF : 7.10.4.62 105472 Bytes 15.02.2010 21:16:23
VBASE024.VDF : 7.10.4.85 111616 Bytes 17.02.2010 21:16:23
VBASE025.VDF : 7.10.4.109 122368 Bytes 21.02.2010 19:07:35
VBASE026.VDF : 7.10.4.128 109056 Bytes 23.02.2010 19:07:39
VBASE027.VDF : 7.10.4.151 111104 Bytes 26.02.2010 16:08:57
VBASE028.VDF : 7.10.4.152 2048 Bytes 26.02.2010 16:08:57
VBASE029.VDF : 7.10.4.153 2048 Bytes 26.02.2010 16:08:57
VBASE030.VDF : 7.10.4.154 2048 Bytes 26.02.2010 16:08:57
VBASE031.VDF : 7.10.4.158 68608 Bytes 26.02.2010 16:08:57
Engineversion : 8.2.1.176
AEVDF.DLL : 8.1.1.3 106868 Bytes 24.01.2010 16:00:50
AESCRIPT.DLL : 8.1.3.17 1032570 Bytes 28.02.2010 16:09:00
AESCN.DLL : 8.1.5.0 127347 Bytes 28.02.2010 16:08:59
AESBX.DLL : 8.1.2.0 254323 Bytes 28.02.2010 16:09:00
AERDL.DLL : 8.1.4.2 479602 Bytes 13.02.2010 13:42:16
AEPACK.DLL : 8.2.0.8 426357 Bytes 13.02.2010 13:42:16
AEOFFICE.DLL : 8.1.0.39 196987 Bytes 19.02.2010 21:19:23
AEHEUR.DLL : 8.1.1.7 2326902 Bytes 19.02.2010 21:19:19
AEHELP.DLL : 8.1.10.1 237942 Bytes 28.02.2010 16:08:59
AEGEN.DLL : 8.1.2.0 373107 Bytes 28.02.2010 16:08:58
AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 09:30:46
AECORE.DLL : 8.1.12.1 188790 Bytes 28.02.2010 16:08:58
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 14:51:09
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 21:16:24
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 21.11.2009 12:59:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Sonntag, 28. Februar 2010 18:49

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MInfraIS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Notifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PROFIL~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sc_watch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kernel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LastFMHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SEPCSuite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDFBackend.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogiTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALCXMNTR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCAPP.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'KBD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hphmon06.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpsysdrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCEVTMGR.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPBBCSvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SNDSrvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISSVC.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCSETMGR.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCPROXY.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '52' Prozesse mit '52' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '93' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HP_PAVILION>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe\Update\bltprn.exe
[FUND] Ist das Trojanische Pferd TR/Agent.25600.24

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe\Update\bltprn.exe
[FUND] Ist das Trojanische Pferd TR/Agent.25600.24
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bfecfe3.qua' verschoben!


Ende des Suchlaufs: Sonntag, 28. Februar 2010 21:18
Benötigte Zeit: 2:22:12 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

16693 Verzeichnisse wurden überprüft
614177 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
614174 Dateien ohne Befall
10577 Archive wurden durchsucht
2 Warnungen
3 Hinweise

Hallo und

Welche Version vom AdobeReader hast Du da? Ältere Versionen haben massive Sicherheitsprobleme und so ganz trau ich dem Reader von Adobe nicht mehr, dass ich eigentlich immer zu Alternativen wie Foxit Reader oder Sumatra PDF rate.

Bitte auch diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Vielen Dank für die schnelle Antwort!

Ich lasse gerade den Scan von Malwarebytes durchlaufen und er hat schon 9 infizierte Objekte gefunden! Mein Avira-Scan hat 2 Stunden gedauert, also schätze ich mal, dass der hier auch etwas länger brauchen wird. Dann melde ich mich nochmal mit den Logfiles.

Wir haben den AdobeReader 7.0 auf dem Familiencomputer.. nicht gerade aktuell. Soll ich ihn einfach mal deinstallieren, wenn ich mit dem Scannen etc. fertig bin?

So, das hier ist der Report von Malwarebytes.. sorry, dass ich ihn jetzt doch direkt hier reinkopiere. Jetzt lade ich mir dann das RSIT herunter.


Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3808
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

01.03.2010 00:07:06
mbam-log-2010-03-01 (00-07-06).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 395875
Laufzeit: 1 hour(s), 46 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 14

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\mywebsearch.htmlpanel (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.htmlpanel.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP1143\A0236975.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP1143\A0236985.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP1144\A0237087.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP1144\A0237094.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP1145\A0237109.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP1145\A0237119.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP1145\A0237127.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP1148\A0237380.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP1161\A0241533.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> Quarantined and deleted successfully.
C:\WINDOWS\rasqervy.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\sdfinacs.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\sdfixwcs.dll (Malware.Trace) -> Quarantined and deleted successfully.

PS: Nach dem Neustart nach dem Malwarebytes-Scan erscheint leider immer noch die rundll32.exe-Fehlermeldung.

So, das sind die zwei Dateien von RSIT

http://www.file-upload.net/download-2305488/info.txt.html

http://www.file-upload.net/download-2305492/log.txt.html

Jetzt geh ich aber schlafen und kümmer mich morgen weiter. Vielleicht hat ja bis dahin auch schon jemand eine Idee, wie ich weiter vorgehen kann. Vielen Dank und gute Nacht!

Oh, nachher müssen wir uns unbedingt um Updates kümmern!
Mach erstmal aber ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Danke! Werde also gleich den CCleaner installieren und alles so machen, wie beschrieben. Die Warnmeldung zu Combofix klingt ja etwas angsteinflößend, besteht die Gefahr, dass ich damit mein System irgendwie beschädige? Werde auf jeden Fall einen Systemwiederherstellungspunkt setzen, oder?

Und zu den Updates: Sicherlich beziehst Du dich darauf, dass ich nur SP2 habe. Als wir SP3 installieren wollten, ist das System abgestürzt und wir mussten wiederherstellen, 2 Mal war das so. Danach hab ich die Windows-Update-Meldungen einfach immer ignoriert. :-( Es ist im Übrigen eine absolut legale Original-Windows-Version, daran kann es also nicht liegen.

Dann ist aber irgendwas anderes mit Deinem System nicht i.O. denn das SP3 ließ sich bisher (bei mir) immer problemlos installieren, es ist auch ein Pflichtupdate! Sehen wir nachher weiter.

Hallo,
jetzt habe ich wahrscheinlich ein lächerliches Problem, aber ich weiß nicht, wie ich es beheben soll.. ich schreibe übrigens von meinem Laptop aus, nicht vom befallenen PC. Nachdem ich bei Combofix die Warnmeldung akzeptiert habe, erscheint die Nachricht
"ComboFix hat festgestellt das folgende Real-Time-Scanner aktiv sind:

antivirus: Avira AntiVir PersonalEdition Classic
antivirus: Avira AntiVir PersonalEdition Classic
antivirus: Avira AntiVir PersonalEdition Classic
antivirus: Avira AntiVir PersonalEdition Classic

Antivirus und Eindringl Schutzprogramme sind dafuer bekannt, dass sie die Arbeit von ComboFix behindern. Dies kann zu unvorhersehbaren Ergebnissen oder eventuellen. PC Schaden fuehren. Bitte deaktiviere diese Scanner, bevor Du auf "OK" klickst."

Ich hab bei Avira aber auf den Regenschirm und auf "deaktivieren" geklickt (vorher schon). Der Regenschirm ist zu und es steht "Guard: inaktiv" daneben. Was kann ich denn noch machen um das abzuschalten?

Ist es normal, dass die Warnmeldung von Combo-Fix Rechtschreib- und Kommafehler enthält?

Manchmal sind da irgendwie noch andere Avira-Instanzen aktiv, wie und warum genau kann ich Dir leider (noch) nicht sagen. Wenn der Regenschirm geschlossen ist, sollte es eigentlich ok sein und Du kannst CF ausführen. Sollte AntiVir trotzdem aufpoppen, wenn CF aktiv ist, dann bitte alles ignorieren und nicht den Zugriff verweigern oder so.

Ich trau mich das ehrlich gesagt nicht. Die Warnung von ComboFix klingt sehr eindeutig.
Habe unter Ausführen: services.msc eingegeben und sehe, dass der Avira Antivir Guard "gestartet" ist. Ich kann ihn aber mit Rechtsklick nicht beenden, das beenden ist nicht fettgedruckt, lässt sich nicht anklicken.

Ich weiß nicht ob das ein Fehler von CF oder AntiVir ist, aber das ist schon häufiger vorgekommen und noch nie ist was passiert
Wenn Du ganz paranoid bist, AntiVir vorher komplett deinstallieren

Ok, ich hab mich getraut und es ist tatsächlich nichts passiert. :-)
Das hier ist der Log:

ComboFix 10-02-28.03 - HP_Besitzer 01.03.2010 12:40:01.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1022.589 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\HP_Besitzer\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00FC-0D24-347CA8A3377C}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\AD ON Multimedia
c:\windows\system32\ps2.bat
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2010-02-01 bis 2010-03-01 ))))))))))))))))))))))))))))))
.

2010-03-01 10:39 . 2010-03-01 10:39 -------- d-----w- c:\programme\CCleaner
2010-02-28 23:31 . 2010-02-28 23:37 -------- d-----w- c:\programme\trend micro
2010-02-28 23:31 . 2010-02-28 23:31 -------- d-----w- C:\rsit
2010-02-28 21:02 . 2010-02-28 21:02 -------- d-----w- c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Malwarebytes
2010-02-28 21:01 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-28 21:01 . 2010-02-28 21:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-28 21:01 . 2010-02-28 22:57 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-02-28 21:01 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-28 14:52 . 2004-08-03 23:57 116736 ----a-w- c:\windows\system32\dllcache\xrxwiadr.dll
2010-02-28 14:52 . 2001-08-18 03:54 23040 ----a-w- c:\windows\system32\dllcache\xrxwbtmp.dll
2010-02-28 14:52 . 2001-08-18 03:54 17920 ----a-w- c:\windows\system32\dllcache\xrxscnui.dll
2010-02-28 14:52 . 2001-08-18 03:55 27648 ----a-w- c:\windows\system32\dllcache\xrxftplt.exe
2010-02-28 14:52 . 2001-08-18 03:55 4608 ----a-w- c:\windows\system32\dllcache\xrxflnch.exe
2010-02-28 14:52 . 2001-08-18 03:55 99865 ----a-w- c:\windows\system32\dllcache\xlog.exe
2010-02-28 14:52 . 2001-08-17 11:11 16970 ----a-w- c:\windows\system32\dllcache\xem336n5.sys
2010-02-28 14:52 . 2004-08-03 21:29 19455 ----a-w- c:\windows\system32\dllcache\wvchntxx.sys
2010-02-28 14:52 . 2004-08-03 21:29 12063 ----a-w- c:\windows\system32\dllcache\wsiintxx.sys
2010-02-28 14:52 . 2004-08-03 23:57 8192 ----a-w- c:\windows\system32\dllcache\wshirda.dll
2010-02-28 14:50 . 2004-08-03 21:29 12127 ----a-w- c:\windows\system32\dllcache\wadv02nt.sys
2010-02-28 14:49 . 2001-08-17 12:28 793598 ----a-w- c:\windows\system32\dllcache\usr1806.sys
2010-02-28 14:48 . 2001-08-17 11:51 166784 ----a-w- c:\windows\system32\dllcache\tridxpm.sys
2010-02-28 14:47 . 2001-08-18 03:52 81408 ----a-w- c:\windows\system32\dllcache\tgiul50.dll
2010-02-28 14:46 . 2001-08-18 03:54 41472 ----a-w- c:\windows\system32\dllcache\sw_effct.dll
2010-02-28 14:45 . 2001-08-17 11:51 20752 ----a-w- c:\windows\system32\dllcache\sonync.sys
2010-02-28 14:44 . 2001-08-18 03:52 157696 ----a-w- c:\windows\system32\dllcache\sisv256.dll
2010-02-28 14:43 . 2001-08-17 12:53 6912 ----a-w- c:\windows\system32\dllcache\seaddsmc.sys
2010-02-28 14:42 . 2001-08-18 03:52 182272 ----a-w- c:\windows\system32\dllcache\s3mt3d.dll
2010-02-28 14:41 . 2001-08-17 12:51 19584 ----a-w- c:\windows\system32\dllcache\rasirda.sys
2010-02-28 14:40 . 2001-08-17 12:53 17792 ----a-w- c:\windows\system32\dllcache\ppa.sys
2010-02-28 14:39 . 2001-08-17 11:12 30495 ----a-w- c:\windows\system32\dllcache\pc100nds.sys
2010-02-28 14:38 . 2004-08-03 23:57 4274816 ----a-w- c:\windows\system32\dllcache\nv4_disp.dll
2010-02-28 14:37 . 2001-08-18 03:52 91488 ----a-w- c:\windows\system32\dllcache\n9i3disp.dll
2010-02-28 14:36 . 2004-08-03 22:00 22016 ----a-w- c:\windows\system32\dllcache\msircomm.sys
2010-02-28 14:36 . 2001-08-17 13:02 35200 ----a-w- c:\windows\system32\dllcache\msgame.sys
2010-02-28 14:36 . 2001-08-17 12:48 6016 ----a-w- c:\windows\system32\dllcache\msfsio.sys
2010-02-28 14:36 . 2001-08-17 12:52 17280 ----a-w- c:\windows\system32\dllcache\mraid35x.sys
2010-02-28 14:36 . 2004-08-03 22:10 15360 ----a-w- c:\windows\system32\dllcache\mpe.sys
2010-02-28 14:36 . 2001-08-17 12:57 16128 ----a-w- c:\windows\system32\dllcache\modemcsa.sys
2010-02-28 14:36 . 2001-08-17 12:52 6528 ----a-w- c:\windows\system32\dllcache\miniqic.sys
2010-02-28 14:36 . 2001-08-18 03:22 320384 ----a-w- c:\windows\system32\dllcache\mgaum.sys
2010-02-28 14:36 . 2001-08-18 03:52 235648 ----a-w- c:\windows\system32\dllcache\mgaud.dll
2010-02-28 14:36 . 2004-08-03 22:00 26112 ----a-w- c:\windows\system32\dllcache\memstpci.sys
2010-02-28 14:36 . 2001-08-18 03:53 47616 ----a-w- c:\windows\system32\dllcache\memgrp.dll
2010-02-28 14:36 . 2001-08-17 12:58 8320 ----a-w- c:\windows\system32\dllcache\memcard.sys
2010-02-28 14:34 . 2001-08-18 03:53 242688 ----a-w- c:\windows\system32\dllcache\kdsusd.dll
2010-02-28 14:33 . 2004-08-04 12:00 81920 ----a-w- c:\windows\system32\dllcache\ieencode.dll
2010-02-28 14:32 . 2001-08-17 12:28 50751 ----a-w- c:\windows\system32\dllcache\hsf_tone.sys
2010-02-28 14:31 . 2001-08-18 03:53 123392 ----a-w- c:\windows\system32\dllcache\hpgt21tk.dll
2010-02-28 14:30 . 2001-08-18 03:53 71680 ----a-w- c:\windows\system32\dllcache\fnfilter.dll
2010-02-28 14:29 . 2001-08-17 12:50 114944 ----a-w- c:\windows\system32\dllcache\epstw2k.sys
2010-02-28 14:28 . 2001-08-18 03:53 29768 ----a-w- c:\windows\system32\dllcache\divasu.dll
2010-02-28 14:27 . 2001-08-17 11:19 72832 ----a-w- c:\windows\system32\dllcache\cwbwdm.sys
2010-02-28 14:26 . 2001-08-18 03:21 14208 ----a-w- c:\windows\system32\dllcache\bulltlp3.sys
2010-02-28 14:25 . 2004-08-03 21:29 104960 ----a-w- c:\windows\system32\dllcache\atinrvxx.sys
2010-02-28 14:24 . 2001-08-18 03:52 66048 ----a-w- c:\windows\system32\dllcache\s3legacy.dll
2010-02-28 11:13 . 2010-02-28 11:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-02-28 11:13 . 2010-02-28 11:16 -------- d-----w- c:\programme\Security Task Manager

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-28 20:50 . 2006-03-26 22:53 -------- d-----w- c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Lavasoft
2010-02-28 17:08 . 2008-04-29 15:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-02-28 11:43 . 2006-04-15 09:51 -------- d-----w- c:\programme\XPcleanv5
2010-02-23 17:13 . 2005-12-26 00:11 -------- d-----w- c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\dvdcss
2010-02-23 16:30 . 2009-04-19 20:41 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-02-23 16:30 . 2009-04-19 20:41 -------- d-----w- c:\programme\DVDVideoSoft
2010-02-16 21:20 . 2005-12-20 22:51 -------- d-----w- c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Skype
2010-02-16 21:19 . 2008-01-27 21:04 -------- d-----w- c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\skypePM
2010-02-13 19:10 . 2005-10-28 20:11 -------- d-----w- c:\programme\Google
2010-02-13 18:15 . 2009-02-27 18:22 -------- d-----w- c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Move Networks
2010-01-23 17:40 . 2010-01-23 17:40 -------- d-----w- c:\programme\MediaInfo
2010-01-23 15:58 . 2009-10-18 17:18 -------- d-----w- c:\programme\Microsoft Silverlight
2010-01-15 13:33 . 2006-06-15 19:38 -------- d-----w- c:\programme\PokerStars
2010-01-14 20:34 . 2006-09-01 10:35 -------- d-----w- c:\programme\EuroPoker
2010-01-03 22:43 . 2005-09-11 20:50 16530 ----a-w- c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\wklnhst.dat
2009-12-31 16:14 . 2004-08-04 12:00 352640 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:05 . 2004-08-04 11:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-17 07:57 . 2004-08-04 12:00 346624 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:35 . 2004-08-04 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-10 21:11 . 2004-11-03 01:10 85396 ----a-w- c:\windows\system32\perfc007.dat
2009-12-10 21:11 . 2004-11-03 01:10 460664 ----a-w- c:\windows\system32\perfh007.dat
2009-12-09 10:23 . 2004-08-04 18:00 2060032 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 10:23 . 2004-08-04 12:00 2182656 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-07 19:30 . 2009-08-02 00:24 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-04 14:41 . 2004-08-04 11:00 453760 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2007-12-06 16:12 . 2007-12-06 16:08 26935175 ----a-w- c:\programme\Setup_MoorhuhnKartExtra-XS-V10.exe
2007-12-05 15:24 . 2007-12-05 15:20 35568329 ----a-w- c:\programme\Setup_MHK2-XSSS.exe
2007-12-05 14:53 . 2007-12-05 14:49 35573317 ----a-w- c:\programme\Setup_MHK2-XS.exe
2006-05-03 09:06 . 2007-12-24 23:58 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2007-12-24 23:58 31232 --sh--r- c:\windows\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-09 68856]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-07-02 397312]
"Resmem"="c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Adobe\Update\32vid.dat" [2010-01-25 52312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 49263]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"HPHUPD06"="c:\programme\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 49152]
"HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-08-04 58992]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-02 339968]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 57344]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"Reminder"="c:\windows\Creator\Remind_XP.exe" [2004-12-14 663552]
"Symantec NetDriver Monitor"="c:\progra~1\SYMNET~1\SNDMon.exe" [2005-09-08 100056]
"LogitechVideoRepair"="c:\programme\Logitech\Video\ISStart.exe" [2004-02-12 188416]
"LogitechVideoTray"="c:\programme\Logitech\Video\LogiTray.exe" [2004-02-12 77824]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-10 406016]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-01-02 180269]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2006-02-23 278528]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"PDFPrint"="c:\programme\pdf24\PDFBackend.exe" [2008-01-31 134144]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Resmem"="c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Adobe\Update\32vid.dat" [2010-01-25 52312]

c:\dokumente und einstellungen\Rocio\Startmen�\Programme\Autostart\
Last.fm Helper.lnk - c:\programme\Last.fm\LastFMHelper.exe [2007-9-15 106496]

c:\dokumente und einstellungen\HP_Besitzer\Startmen�\Programme\Autostart\
Last.fm Helper.lnk - c:\programme\Last.fm\LastFMHelper.exe [2007-9-15 106496]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-9-17 113664]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-5 258048]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
backup=c:\windows\pss\Kodak EasyShare Software.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^KODAK Software Updater.lnk]
backup=c:\windows\pss\KODAK Software Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2005-06-23 19:33 57344 ----a-w- c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
2005-10-26 15:17 159744 ----a-r- c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [09.07.2008 16:14 61440]
R4 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.08.2009 01:24 108289]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [07.01.2010 01:03 135664]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [09.07.2008 16:14 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [09.07.2008 16:14 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [09.07.2008 16:14 17536]
S3 NUVision;Pinnacle DVC 80 Video;c:\windows\system32\drivers\nuvvid2.sys [11.10.2005 15:37 155264]
S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [29.12.2008 19:08 90536]
S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [29.12.2008 19:09 15016]
S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [29.12.2008 19:09 122152]
S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [29.12.2008 19:16 115496]
S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [29.12.2008 19:16 25768]
S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [29.12.2008 19:16 111912]
S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [29.12.2008 19:16 117672]
S3 V0260VID;Live! Cam Vista IM;c:\windows\system32\drivers\V0260Vid.sys [25.12.2006 02:09 162176]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
.
Inhalt des "geplante Tasks" Ordners

2008-12-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-03-01 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-31 18:17]

2010-03-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-07 00:02]

2010-03-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-07 00:02]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1210538425
DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
FF - ProfilePath - c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ezz5sutf.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\ezz5sutf.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Google\Update\1.2.183.17\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre1.5.0_09\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_09\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_09\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_09\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_09\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_09\bin\NPJPI150_09.dll
FF - plugin: c:\programme\Java\jre1.5.0_09\bin\NPOJI610.dll
FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-01 12:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(636)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-03-01 12:54:11
ComboFix-quarantined-files.txt 2010-03-01 11:53

Vor Suchlauf: 18 Verzeichnis(se), 22.763.290.624 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 23.142.580.224 Bytes frei

- - End Of File - - 7D295C920FF81B5AB68F088520704B6E

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Resmem"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Resmem"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

File::
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Adobe\Update\32vid.dat
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!