Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.11.2010, 11:46   #1
bembel17
 
Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Standard

Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe



Hallo zusammen,

seit heute morgen meldet mir AntiVir, dass sich Malware auf meinem Windows 7 Laptop befindet. Und zwar meldet es, dass TR/Spy.96256.37 in wininit.exe gefunden wurde. Leider kann AntiVir das Problem nicht beseitigen. Zwei Auszüge aus der Report-Datei:

-------------------------------------------------------
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Windows\explorer.exe>
[FUND] Ist das Trojanische Pferd TR/Spy.2614272.6
[HINWEIS] Prozess 'explorer.exe' wurde beendet
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Eine Instanz der ARK Library läuft bereits.

Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Windows\System32\wininit.exe>
[FUND] Ist das Trojanische Pferd TR/Spy.96256.37
[WARNUNG] Der Prozess <wininit.exe> konnte nicht beendet werden. Mögliche Ursache: Eine Instanz der ARK Library läuft bereits.
[WARNUNG] Bei diesem Prozess handelt es sich um einen Systemprozess. Die zugehörige Datei wird hicht gelöscht.
-----------------------------------------------------------------

Daher habe ich online einen WindowsLive Schutz-Scan durchgeführt, der die im Titel genannten Viren/Trojaner gefunden hat, aber Bamital.H nicht entfernen konnte.

Im Forum habe ich gesehen, das Malwarebytes empfohlen wird und habe dies daher auch runtergeladen und verwendet mit folgendem output:

----------------------------------------------
Malwarebytes' Anti-Malware 1.46
w**.malwarebytes.org

Datenbank Version: 5111

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

14.11.2010 12:00:16
mbam-log-2010-11-14 (12-00-16).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 141944
Laufzeit: 5 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Public\Documents\Server\admin.txt (Malware.Trace) -> No action taken.
C:\Users\Public\Documents\Server\server.dat (Malware.Trace) -> No action taken.
------------------------------------------

Ich habe nach dem Verwenden von Malwarbytes noch nicht neu gestartet, da ich heute morgen ein paar mal Probleme hatte, den rechner gestartet zu bekommen...

Problematisch ist, dass mich diese Schadware nicht nach Problemlösungen suchen lässt, da es mich auf andere Seiten umlenkt, wenn ich ein Suchergebnis (zB in Foren) anklicken möchte.

Meine Frage ist nun natürlich, wie ich diese Probleme lösen kann, wenn es sich bei den infizierten Dateien um Systemdateien handelt, die nicht einfach von Virenprogrammen gelöscht werden können. Habt ihr da Erfahrungen/Tipps/Ratschläge?

Natürlich passiert so etwas an einem Sonntag... Ich wäre für Hilfe daher wirklich sehr dankbar!

Geändert von bembel17 (14.11.2010 um 11:59 Uhr) Grund: Artikel ausversehen zu früh gepostet...

Alt 14.11.2010, 11:59   #2
markusg
/// Malware-holic
 
Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Standard

Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe



bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________

__________________

Alt 14.11.2010, 12:29   #3
bembel17
 
Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Standard

Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe



Zunächst einmal vielen Dank für die schnelle Antwort! Hat leider etwas länger gedauert, aber jetzt habe ich ComboFix laufen lassen und ein recht umfangreiches log bekommen. Ich kann damit natürlich jetzt wenig anfangen und weiß auch nicht, was ich da alles "preisgebe" aber ich bin wie gesagt für jede Hilfe dankbar!
Wie geht es jetzt weiter oder hat ComboFix etwa die Malware schon entfernt ("desinfiziert")?
Combofix Logfile:
Code:
ATTFilter
ComboFix 10-11-12.06 - ** 14.11.2010  13:09:28.1.4 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3255.2024 [GMT 1:00]
ausgeführt von:: c:\users\**\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\akhdfiusdf.exe
c:\akhdfiusdf.exe\config.bin
c:\users\**\AppData\Local\Temp\bcdentfs.dll
c:\windows\system32\drivers\ujvurbdn.sys
c:\windows\TEMP\explorer.dat

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe wurde wiederhergestellt 

Infizierte Kopie von c:\windows\System32\wininit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe wurde wiederhergestellt 

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe wurde wiederhergestellt
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_dyrcddop


(((((((((((((((((((((((   Dateien erstellt von 2010-10-14 bis 2010-11-14  ))))))))))))))))))))))))))))))
.

2010-11-14 12:13 . 2010-11-14 12:13	--------	d-----w-	C:\Device
2010-11-14 12:13 . 2010-11-14 12:16	--------	d-----w-	c:\users\**\AppData\Local\temp
2010-11-14 12:13 . 2010-11-14 12:13	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-11-14 10:53 . 2010-11-14 10:53	--------	d-----w-	c:\users\**\AppData\Roaming\Malwarebytes
2010-11-14 10:53 . 2010-04-29 11:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-14 10:53 . 2010-11-14 10:53	--------	d-----w-	c:\programdata\Malwarebytes
2010-11-14 10:53 . 2010-11-14 10:53	--------	d-----w-	c:\program files\Malwarebytes
2010-11-14 10:53 . 2010-04-29 11:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-14 10:22 . 2010-11-14 10:34	--------	d-----w-	c:\program files\Windows Live Safety Center
2010-11-13 17:46 . 2010-11-13 17:46	--------	d-----w-	c:\program files\Common Files\Java
2010-11-13 17:46 . 2010-09-15 03:50	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-12 16:32 . 2010-10-07 23:21	6146896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{0DB04044-9E6E-4BE3-B167-A60E5D58036E}\mpengine.dll
2010-11-07 18:05 . 2010-11-09 18:25	--------	d-----w-	c:\users\**\AppData\Roaming\DivX
2010-11-07 18:04 . 2010-11-07 18:04	--------	d-----w-	c:\program files\Common Files\DivX Shared
2010-11-07 18:04 . 2010-11-07 18:05	--------	d-----w-	c:\users\**\AppData\Local\Google
2010-11-07 18:04 . 2010-11-07 18:05	--------	d-----w-	c:\program files\Google
2010-11-07 18:04 . 2010-11-07 18:05	--------	d-----w-	c:\program files\DivX
2010-11-07 18:04 . 2010-11-07 18:05	--------	d-----w-	c:\programdata\DivX
2010-11-02 06:48 . 2010-11-02 06:48	--------	d-----w-	c:\program files\uTorrent
2010-11-02 06:47 . 2010-11-02 06:59	--------	d-----w-	c:\users\**\AppData\Roaming\uTorrent
2010-10-29 05:17 . 2010-10-29 05:17	--------	d-----w-	c:\program files\Microsoft IntelliPoint
2010-10-26 17:36 . 2010-10-26 17:36	--------	d-----w-	c:\programdata\elsterformular
2010-10-26 17:35 . 2010-10-26 17:36	--------	d-----w-	c:\program files\ElsterFormular
2010-10-18 18:09 . 2010-10-18 18:18	--------	d-----w-	C:\Netgear
2010-10-15 15:36 . 2010-10-15 15:36	--------	d-----w-	c:\program files\Common Files\Adobe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-02 20:19 . 2010-09-01 18:47	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-02 20:19 . 2010-09-01 18:47	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-10-19 09:41 . 2010-05-03 12:01	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-09-08 09:17 . 2010-09-08 09:17	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-09-08 09:17 . 2010-09-08 09:17	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-09-08 04:30 . 2010-10-13 17:36	978432	----a-w-	c:\windows\system32\wininet.dll
2010-09-08 04:28 . 2010-10-13 17:36	44544	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-08 03:22 . 2010-10-13 17:36	386048	----a-w-	c:\windows\system32\html.iec
2010-09-08 02:48 . 2010-10-13 17:36	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2010-09-01 04:23 . 2010-10-13 17:36	12625408	----a-w-	c:\windows\system32\wmploc.DLL
2010-09-01 02:34 . 2010-10-13 17:36	2327552	----a-w-	c:\windows\system32\win32k.sys
2010-08-31 04:32 . 2010-10-13 17:36	954752	----a-w-	c:\windows\system32\mfc40.dll
2010-08-31 04:32 . 2010-10-13 17:36	954288	----a-w-	c:\windows\system32\mfc40u.dll
2010-08-27 05:46 . 2010-10-13 17:36	168448	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-27 03:31 . 2010-10-13 17:36	310784	----a-w-	c:\windows\system32\drivers\srv.sys
2010-08-27 03:30 . 2010-10-13 17:36	308736	----a-w-	c:\windows\system32\drivers\srv2.sys
2010-08-27 03:30 . 2010-10-13 17:36	113664	----a-w-	c:\windows\system32\drivers\srvnet.sys
2010-08-26 04:39 . 2010-10-13 17:36	109056	----a-w-	c:\windows\system32\t2embed.dll
2010-08-21 05:36 . 2010-10-13 17:36	738816	----a-w-	c:\windows\system32\wmpmde.dll
2010-08-21 05:36 . 2010-10-13 17:36	224256	----a-w-	c:\windows\system32\schannel.dll
2010-08-21 05:33 . 2010-10-13 17:36	530432	----a-w-	c:\windows\system32\comctl32.dll
2010-08-21 05:32 . 2010-09-15 11:18	316928	----a-w-	c:\windows\system32\spoolsv.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\**\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\**\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\**\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-09-02 13351304]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2009-10-02 284696]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-01-12 8423968]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RtHDVBg.exe" [2010-01-12 678432]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-14 14817896]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2009-12-14 200704]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2009-12-11 348960]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2010-01-13 413696]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-12-10 1594664]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-11-24 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-11-24 175640]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-11-24 166936]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"YouCam Mirror Tray icon"="c:\program files\CyberLink\YouCam\YouCamTray.exe" [2009-10-19 167008]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2010-07-21 1797008]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
" Malwarebytes Anti-Malware  (reboot)"="c:\program files\Malwarebytes\mbam.exe" [2010-04-29 1090952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\nvinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKLM\~\startupfolder\C:^Users^Jens^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Dropbox.lnk]
path=c:\users\**\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD9LanguageShortcut]
2009-04-27 15:50	50472	------w-	c:\program files\CyberLink\PowerDVD9\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2010-07-12 16:32	74752	----a-w-	c:\program files\Winamp\winampa.exe

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 135664]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-07-30 171520]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
R3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2009-10-22 118560]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-02 135336]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-10 2320920]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-26 125696]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2009-10-30 209920]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [2009-11-13 58368]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2009-12-16 991776]

.
Inhalt des "geplante Tasks" Ordners

2010-11-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 18:04]

2010-11-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 18:04]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.medion.com
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay - eine der größten deutschen Shopping-Websites
DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} - hxxp://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx
FF - ProfilePath - c:\users\Jens\AppData\Roaming\Mozilla\Firefox\Profiles\oqabz8zg.default\
FF - prefs.js: browser.startup.homepage - SPIEGEL ONLINE - Nachrichten
FF - component: c:\program files\Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: c:\program files\Firefox\plugins\npwachk.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\PDF-XChange\PDF Viewer\npPDFXCviewNPPlugin.dll
FF - plugin: c:\program files\VLC\npvlc.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX Richtlinien ----
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\program files\Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-akhdfiusdf.exe - c:\akhdfiusdf.exe\akhdfiusdf.exe
HKLM-Run-LMgrOSD - c:\program files\Launch Manager\OSDCtrl.exe
SafeBoot-BsScanner


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-594636782-462693429-3300972399-1000\Software\SecuROM\License information*]
"datasecu"=hex:28,f7,a6,b9,57,f0,21,7d,99,6c,0d,eb,85,c4,f6,1b,71,9d,ea,08,0f,
   98,97,95,09,74,ce,74,f2,ab,6f,04,86,53,77,da,89,ef,66,3a,ce,37,8d,01,1e,cc,\
"rkeysecu"=hex:aa,f0,5d,cf,fb,dd,39,91,f7,69,53,3f,32,28,04,a4

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(3164)
c:\users\**\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files\CyberLink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-14  13:19:37 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-14 12:19

Vor Suchlauf: 9 Verzeichnis(se), 367.900.499.968 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 367.484.112.896 Bytes frei

- - End Of File - - 8342C96A6DD9E5C299925ECC41E2F0E8
         
--- --- ---
__________________

Alt 14.11.2010, 12:36   #4
bembel17
 
Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Standard

Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe



Zunächst einmal vielen Dank für die schnelle Antwort!
Es hat leider etwas länger gedauert, aber jetzt habe ich ComboFix laufen lassen und ein längliches log bekommen. Ich kann damit wenig anfangen und wäre daher für Interpretations- und Handlungshilfe dankbar! Wie geht es jetzt weiter oder hat ComboFix etwa bereits die Malware entfernt ("desinfiziert")?

Hier das log, von dem ich nicht weiß, welche Daten es alles enthält, aber was soll's, alleine komme ich ja nicht weiter...

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-11-12.06 - ** 14.11.2010  13:09:28.1.4 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3255.2024 [GMT 1:00]
ausgeführt von:: c:\users\**\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\akhdfiusdf.exe
c:\akhdfiusdf.exe\config.bin
c:\users\**\AppData\Local\Temp\bcdentfs.dll
c:\windows\system32\drivers\ujvurbdn.sys
c:\windows\TEMP\explorer.dat

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe wurde wiederhergestellt 

Infizierte Kopie von c:\windows\System32\wininit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe wurde wiederhergestellt 

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe wurde wiederhergestellt
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_dyrcddop


(((((((((((((((((((((((   Dateien erstellt von 2010-10-14 bis 2010-11-14  ))))))))))))))))))))))))))))))
.

2010-11-14 12:13 . 2010-11-14 12:13	--------	d-----w-	C:\Device
2010-11-14 12:13 . 2010-11-14 12:16	--------	d-----w-	c:\users\**\AppData\Local\temp
2010-11-14 12:13 . 2010-11-14 12:13	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-11-14 10:53 . 2010-11-14 10:53	--------	d-----w-	c:\users\**\AppData\Roaming\Malwarebytes
2010-11-14 10:53 . 2010-04-29 11:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-14 10:53 . 2010-11-14 10:53	--------	d-----w-	c:\programdata\Malwarebytes
2010-11-14 10:53 . 2010-11-14 10:53	--------	d-----w-	c:\program files\Malwarebytes
2010-11-14 10:53 . 2010-04-29 11:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-14 10:22 . 2010-11-14 10:34	--------	d-----w-	c:\program files\Windows Live Safety Center
2010-11-13 17:46 . 2010-11-13 17:46	--------	d-----w-	c:\program files\Common Files\Java
2010-11-13 17:46 . 2010-09-15 03:50	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-12 16:32 . 2010-10-07 23:21	6146896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{0DB04044-9E6E-4BE3-B167-A60E5D58036E}\mpengine.dll
2010-11-07 18:05 . 2010-11-09 18:25	--------	d-----w-	c:\users\**\AppData\Roaming\DivX
2010-11-07 18:04 . 2010-11-07 18:04	--------	d-----w-	c:\program files\Common Files\DivX Shared
2010-11-07 18:04 . 2010-11-07 18:05	--------	d-----w-	c:\users\**\AppData\Local\Google
2010-11-07 18:04 . 2010-11-07 18:05	--------	d-----w-	c:\program files\Google
2010-11-07 18:04 . 2010-11-07 18:05	--------	d-----w-	c:\program files\DivX
2010-11-07 18:04 . 2010-11-07 18:05	--------	d-----w-	c:\programdata\DivX
2010-11-02 06:48 . 2010-11-02 06:48	--------	d-----w-	c:\program files\uTorrent
2010-11-02 06:47 . 2010-11-02 06:59	--------	d-----w-	c:\users\**\AppData\Roaming\uTorrent
2010-10-29 05:17 . 2010-10-29 05:17	--------	d-----w-	c:\program files\Microsoft IntelliPoint
2010-10-26 17:36 . 2010-10-26 17:36	--------	d-----w-	c:\programdata\elsterformular
2010-10-26 17:35 . 2010-10-26 17:36	--------	d-----w-	c:\program files\ElsterFormular
2010-10-18 18:09 . 2010-10-18 18:18	--------	d-----w-	C:\Netgear
2010-10-15 15:36 . 2010-10-15 15:36	--------	d-----w-	c:\program files\Common Files\Adobe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-02 20:19 . 2010-09-01 18:47	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-02 20:19 . 2010-09-01 18:47	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-10-19 09:41 . 2010-05-03 12:01	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-09-08 09:17 . 2010-09-08 09:17	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-09-08 09:17 . 2010-09-08 09:17	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-09-08 04:30 . 2010-10-13 17:36	978432	----a-w-	c:\windows\system32\wininet.dll
2010-09-08 04:28 . 2010-10-13 17:36	44544	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-08 03:22 . 2010-10-13 17:36	386048	----a-w-	c:\windows\system32\html.iec
2010-09-08 02:48 . 2010-10-13 17:36	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2010-09-01 04:23 . 2010-10-13 17:36	12625408	----a-w-	c:\windows\system32\wmploc.DLL
2010-09-01 02:34 . 2010-10-13 17:36	2327552	----a-w-	c:\windows\system32\win32k.sys
2010-08-31 04:32 . 2010-10-13 17:36	954752	----a-w-	c:\windows\system32\mfc40.dll
2010-08-31 04:32 . 2010-10-13 17:36	954288	----a-w-	c:\windows\system32\mfc40u.dll
2010-08-27 05:46 . 2010-10-13 17:36	168448	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-27 03:31 . 2010-10-13 17:36	310784	----a-w-	c:\windows\system32\drivers\srv.sys
2010-08-27 03:30 . 2010-10-13 17:36	308736	----a-w-	c:\windows\system32\drivers\srv2.sys
2010-08-27 03:30 . 2010-10-13 17:36	113664	----a-w-	c:\windows\system32\drivers\srvnet.sys
2010-08-26 04:39 . 2010-10-13 17:36	109056	----a-w-	c:\windows\system32\t2embed.dll
2010-08-21 05:36 . 2010-10-13 17:36	738816	----a-w-	c:\windows\system32\wmpmde.dll
2010-08-21 05:36 . 2010-10-13 17:36	224256	----a-w-	c:\windows\system32\schannel.dll
2010-08-21 05:33 . 2010-10-13 17:36	530432	----a-w-	c:\windows\system32\comctl32.dll
2010-08-21 05:32 . 2010-09-15 11:18	316928	----a-w-	c:\windows\system32\spoolsv.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\**\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\**\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\**\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-09-02 13351304]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2009-10-02 284696]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-01-12 8423968]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RtHDVBg.exe" [2010-01-12 678432]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-14 14817896]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2009-12-14 200704]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2009-12-11 348960]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2010-01-13 413696]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-12-10 1594664]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-11-24 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-11-24 175640]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-11-24 166936]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"YouCam Mirror Tray icon"="c:\program files\CyberLink\YouCam\YouCamTray.exe" [2009-10-19 167008]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2010-07-21 1797008]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
" Malwarebytes Anti-Malware  (reboot)"="c:\program files\Malwarebytes\mbam.exe" [2010-04-29 1090952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\nvinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKLM\~\startupfolder\C:^Users^**^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Dropbox.lnk]
path=c:\users\**\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD9LanguageShortcut]
2009-04-27 15:50	50472	------w-	c:\program files\CyberLink\PowerDVD9\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2010-07-12 16:32	74752	----a-w-	c:\program files\Winamp\winampa.exe

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 135664]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-07-30 171520]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
R3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2009-10-22 118560]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-02 135336]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-10 2320920]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-26 125696]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2009-10-30 209920]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [2009-11-13 58368]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2009-12-16 991776]

.
Inhalt des "geplante Tasks" Ordners

2010-11-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 18:04]

2010-11-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 18:04]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.medion.com
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay - eine der größten deutschen Shopping-Websites
DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} - hxxp://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx
FF - ProfilePath - c:\users\**\AppData\Roaming\Mozilla\Firefox\Profiles\oqabz8zg.default\
FF - prefs.js: browser.startup.homepage - SPIEGEL ONLINE - Nachrichten
FF - component: c:\program files\Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: c:\program files\Firefox\plugins\npwachk.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\PDF-XChange\PDF Viewer\npPDFXCviewNPPlugin.dll
FF - plugin: c:\program files\VLC\npvlc.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX Richtlinien ----
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\program files\Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-akhdfiusdf.exe - c:\akhdfiusdf.exe\akhdfiusdf.exe
HKLM-Run-LMgrOSD - c:\program files\Launch Manager\OSDCtrl.exe
SafeBoot-BsScanner


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-594636782-462693429-3300972399-1000\Software\SecuROM\License information*]
"datasecu"=hex:28,f7,a6,b9,57,f0,21,7d,99,6c,0d,eb,85,c4,f6,1b,71,9d,ea,08,0f,
   98,97,95,09,74,ce,74,f2,ab,6f,04,86,53,77,da,89,ef,66,3a,ce,37,8d,01,1e,cc,\
"rkeysecu"=hex:aa,f0,5d,cf,fb,dd,39,91,f7,69,53,3f,32,28,04,a4

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(3164)
c:\users\**\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files\CyberLink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-14  13:19:37 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-14 12:19

Vor Suchlauf: 9 Verzeichnis(se), 367.900.499.968 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 367.484.112.896 Bytes frei

- - End Of File - - 8342C96A6DD9E5C299925ECC41E2F0E8
         
--- --- ---

Alt 14.11.2010, 12:38   #5
bembel17
 
Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Standard

Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe



Zunächst einmal vielen Dank für die schnelle Antwort!
Es hat leider etwas länger gedauert, aber jetzt habe ich ComboFix laufen lassen und ein längliches log bekommen. Ich kann damit wenig anfangen und wäre daher für Interpretations- und Handlungshilfe dankbar! Wie geht es jetzt weiter oder hat ComboFix etwa bereits die Malware entfernt ("desinfiziert")?

Hier das log, von dem ich nicht weiß, welche Daten es alles enthält, aber was soll's, alleine komme ich ja nicht weiter...


Combofix Logfile:
Code:
ATTFilter
ComboFix 10-11-12.06 - ** 14.11.2010  13:09:28.1.4 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3255.2024 [GMT 1:00]
ausgeführt von:: c:\users\**\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\akhdfiusdf.exe
c:\akhdfiusdf.exe\config.bin
c:\users\**\AppData\Local\Temp\bcdentfs.dll
c:\windows\system32\drivers\ujvurbdn.sys
c:\windows\TEMP\explorer.dat

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe wurde wiederhergestellt 

Infizierte Kopie von c:\windows\System32\wininit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe wurde wiederhergestellt 

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe wurde wiederhergestellt
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_dyrcddop


(((((((((((((((((((((((   Dateien erstellt von 2010-10-14 bis 2010-11-14  ))))))))))))))))))))))))))))))
.

2010-11-14 12:13 . 2010-11-14 12:13	--------	d-----w-	C:\Device
2010-11-14 12:13 . 2010-11-14 12:16	--------	d-----w-	c:\users\**\AppData\Local\temp
2010-11-14 12:13 . 2010-11-14 12:13	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-11-14 10:53 . 2010-11-14 10:53	--------	d-----w-	c:\users\**\AppData\Roaming\Malwarebytes
2010-11-14 10:53 . 2010-04-29 11:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-14 10:53 . 2010-11-14 10:53	--------	d-----w-	c:\programdata\Malwarebytes
2010-11-14 10:53 . 2010-11-14 10:53	--------	d-----w-	c:\program files\Malwarebytes
2010-11-14 10:53 . 2010-04-29 11:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-14 10:22 . 2010-11-14 10:34	--------	d-----w-	c:\program files\Windows Live Safety Center
2010-11-13 17:46 . 2010-11-13 17:46	--------	d-----w-	c:\program files\Common Files\Java
2010-11-13 17:46 . 2010-09-15 03:50	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-12 16:32 . 2010-10-07 23:21	6146896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{0DB04044-9E6E-4BE3-B167-A60E5D58036E}\mpengine.dll
2010-11-07 18:05 . 2010-11-09 18:25	--------	d-----w-	c:\users\**\AppData\Roaming\DivX
2010-11-07 18:04 . 2010-11-07 18:04	--------	d-----w-	c:\program files\Common Files\DivX Shared
2010-11-07 18:04 . 2010-11-07 18:05	--------	d-----w-	c:\users\**\AppData\Local\Google
2010-11-07 18:04 . 2010-11-07 18:05	--------	d-----w-	c:\program files\Google
2010-11-07 18:04 . 2010-11-07 18:05	--------	d-----w-	c:\program files\DivX
2010-11-07 18:04 . 2010-11-07 18:05	--------	d-----w-	c:\programdata\DivX
2010-11-02 06:48 . 2010-11-02 06:48	--------	d-----w-	c:\program files\uTorrent
2010-11-02 06:47 . 2010-11-02 06:59	--------	d-----w-	c:\users\**\AppData\Roaming\uTorrent
2010-10-29 05:17 . 2010-10-29 05:17	--------	d-----w-	c:\program files\Microsoft IntelliPoint
2010-10-26 17:36 . 2010-10-26 17:36	--------	d-----w-	c:\programdata\elsterformular
2010-10-26 17:35 . 2010-10-26 17:36	--------	d-----w-	c:\program files\ElsterFormular
2010-10-18 18:09 . 2010-10-18 18:18	--------	d-----w-	C:\Netgear
2010-10-15 15:36 . 2010-10-15 15:36	--------	d-----w-	c:\program files\Common Files\Adobe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-02 20:19 . 2010-09-01 18:47	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-02 20:19 . 2010-09-01 18:47	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-10-19 09:41 . 2010-05-03 12:01	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-09-08 09:17 . 2010-09-08 09:17	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-09-08 09:17 . 2010-09-08 09:17	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-09-08 04:30 . 2010-10-13 17:36	978432	----a-w-	c:\windows\system32\wininet.dll
2010-09-08 04:28 . 2010-10-13 17:36	44544	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-08 03:22 . 2010-10-13 17:36	386048	----a-w-	c:\windows\system32\html.iec
2010-09-08 02:48 . 2010-10-13 17:36	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2010-09-01 04:23 . 2010-10-13 17:36	12625408	----a-w-	c:\windows\system32\wmploc.DLL
2010-09-01 02:34 . 2010-10-13 17:36	2327552	----a-w-	c:\windows\system32\win32k.sys
2010-08-31 04:32 . 2010-10-13 17:36	954752	----a-w-	c:\windows\system32\mfc40.dll
2010-08-31 04:32 . 2010-10-13 17:36	954288	----a-w-	c:\windows\system32\mfc40u.dll
2010-08-27 05:46 . 2010-10-13 17:36	168448	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-27 03:31 . 2010-10-13 17:36	310784	----a-w-	c:\windows\system32\drivers\srv.sys
2010-08-27 03:30 . 2010-10-13 17:36	308736	----a-w-	c:\windows\system32\drivers\srv2.sys
2010-08-27 03:30 . 2010-10-13 17:36	113664	----a-w-	c:\windows\system32\drivers\srvnet.sys
2010-08-26 04:39 . 2010-10-13 17:36	109056	----a-w-	c:\windows\system32\t2embed.dll
2010-08-21 05:36 . 2010-10-13 17:36	738816	----a-w-	c:\windows\system32\wmpmde.dll
2010-08-21 05:36 . 2010-10-13 17:36	224256	----a-w-	c:\windows\system32\schannel.dll
2010-08-21 05:33 . 2010-10-13 17:36	530432	----a-w-	c:\windows\system32\comctl32.dll
2010-08-21 05:32 . 2010-09-15 11:18	316928	----a-w-	c:\windows\system32\spoolsv.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\**\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\**\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\**\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-09-02 13351304]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2009-10-02 284696]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-01-12 8423968]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RtHDVBg.exe" [2010-01-12 678432]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-14 14817896]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2009-12-14 200704]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2009-12-11 348960]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2010-01-13 413696]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-12-10 1594664]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-11-24 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-11-24 175640]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-11-24 166936]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"YouCam Mirror Tray icon"="c:\program files\CyberLink\YouCam\YouCamTray.exe" [2009-10-19 167008]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2010-07-21 1797008]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
" Malwarebytes Anti-Malware  (reboot)"="c:\program files\Malwarebytes\mbam.exe" [2010-04-29 1090952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\nvinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKLM\~\startupfolder\C:^Users^**^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Dropbox.lnk]
path=c:\users\**\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD9LanguageShortcut]
2009-04-27 15:50	50472	------w-	c:\program files\CyberLink\PowerDVD9\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2010-07-12 16:32	74752	----a-w-	c:\program files\Winamp\winampa.exe

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 135664]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-07-30 171520]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
R3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2009-10-22 118560]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-02 135336]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-10 2320920]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-26 125696]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2009-10-30 209920]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [2009-11-13 58368]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2009-12-16 991776]

.
Inhalt des "geplante Tasks" Ordners

2010-11-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 18:04]

2010-11-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-11-07 18:04]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.medion.com
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} - hxxp://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx
FF - ProfilePath - c:\users\**\AppData\Roaming\Mozilla\Firefox\Profiles\oqabz8zg.default\
FF - prefs.js: browser.startup.homepage - www.spiegel.de
FF - component: c:\program files\Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: c:\program files\Firefox\plugins\npwachk.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\PDF-XChange\PDF Viewer\npPDFXCviewNPPlugin.dll
FF - plugin: c:\program files\VLC\npvlc.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX Richtlinien ----
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\program files\Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\program files\Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-akhdfiusdf.exe - c:\akhdfiusdf.exe\akhdfiusdf.exe
HKLM-Run-LMgrOSD - c:\program files\Launch Manager\OSDCtrl.exe
SafeBoot-BsScanner


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-594636782-462693429-3300972399-1000\Software\SecuROM\License information*]
"datasecu"=hex:28,f7,a6,b9,57,f0,21,7d,99,6c,0d,eb,85,c4,f6,1b,71,9d,ea,08,0f,
   98,97,95,09,74,ce,74,f2,ab,6f,04,86,53,77,da,89,ef,66,3a,ce,37,8d,01,1e,cc,\
"rkeysecu"=hex:aa,f0,5d,cf,fb,dd,39,91,f7,69,53,3f,32,28,04,a4

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(3164)
c:\users\**\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files\CyberLink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-14  13:19:37 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-14 12:19

Vor Suchlauf: 9 Verzeichnis(se), 367.900.499.968 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 367.484.112.896 Bytes frei

- - End Of File - - 8342C96A6DD9E5C299925ECC41E2F0E8
         
--- --- ---


Alt 14.11.2010, 12:39   #6
markusg
/// Malware-holic
 
Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Standard

Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe



rechtsklick auf den avira guard, deaktivieren.
öffne mein computer c: dort qoobox, packe den quarantain ordner mit winrar oder zip, lad ihn zu uns hoch.
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html
dann muss ich dich fragen, machst du banking, oder online einkäufe?
__________________
--> Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe

Alt 14.11.2010, 12:42   #7
bembel17
 
Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Standard

Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe



Und wieder Danke für die extrem schnelle Antwort. Ja, sowohl banking, als auch einkaufen. Grund zu ernster Sorge, gegeben die Infizierung?!?

Ich versuche jetzt deinen Anweiseungen zu folgen und melde mich dann gleich wieder.

Alt 14.11.2010, 12:47   #8
bembel17
 
Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Standard

Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe



Habe den gezippten Ordner hochgeladen. Ich hoffe, es hat alles geklappt und du kannst die Datei meinem Post zuordnen.

Alt 14.11.2010, 12:47   #9
markusg
/// Malware-holic
 
Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Standard

Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe



ja, das ist sehr wohl nen grund zur besorgniss, und ein grund, sofort zum telefon zu greifen, und das online banking sperren zu lassen.
wenn du nen zweit pc zur verfügung hast, endere von dem aus sofort alle passwörter.
ich persönlich würde diesen hier neu aufsetzen und dann absichern, dazu bekommst du hilfe von mir.
dann kannst du mit dem wieder beruhigt banking machen und einkaufen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.11.2010, 13:13   #10
markusg
/// Malware-holic
 
Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Standard

Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe



datei ist angekommen.
teile mir mit, wie du verfahren möchtest.
ich würd in den sauren apfel zeigen, ich gebe dir dann auch nen gutes backup tool mit an die hand, damit machst du regelmäßige system backups und kannst das nächste mal in 5 minuten zurücksetzen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.11.2010, 13:22   #11
bembel17
 
Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Standard

Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe



Bin grad ehrlich gesagt etwas verunsichert. Ist wohl normal ;-)
Natürlich würde ich gerne das Neu-Aufsetzen vermeiden, aber wenn es nötig ist, dann ist es so. Der LapTop ist halt quasi neu und vorher habe ich jahrelang mit XP gearbeitet und nie einen Virus o.ä. gehabt (bzw. nicht dass ich es gemerkt hätte...) Und wie ich mir das eingefangen habe, weiß ich natürlich auch nicht.
Auch alle online Zugänge sperren macht natürlich Arbeit... Jetzt einloggen, um zu kontrollieren ist sicherlich keine gute Idee, richtig!? Eigentlich kann man ja ohne TANs nichts damit anfangen, sollte man denken, aber wer weiß.

Ich müsste auch noch ein paar Daten sichern, obwohl das meiste gesichert ist. Ganz normale Daten dürften doch für das neue System kein Risiko darstellen, oder doch?

Was sagt dir denn das ComboFix log und die Quarantäne Ordner? Kann man daraus etwas erkennen? AntiVir gibt inziwischen jedenfalls keine Warnmeldungen mehr aus und der Windows online Safety Scan findet auch nichts mehr. Das ist doch schonmal ein gutes Zeichen! Oder trügerische Sicherheit?

Nochmals vielen Dank für die Hilfe!

PS: Du weißt nicht zufällig zu welchem Zweck diese Malware programmiert wurde, oder? Manchmal sind solche Viren o.ä. doch auch nur nervig und stellen keinen Betrugsversuche oder öhnliches dar... Oder bin ich da zu naiv?

Alt 14.11.2010, 13:28   #12
markusg
/// Malware-holic
 
Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Standard

Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe



diese aber schon. von spyeye gibt es sehr unschöne variannten, welche die nur daten klauen, und auch welche, die gleich "einkaufen gehen"
Botnet geht mit geklauten Kreditkarten einkaufen - TechNet Blog Deutschland - Site Home - TechNet Blogs
windows 7 hat schon gute sicherheitsfunktionen, wir werden sie dann voll ausnutzen.
du kannst wichtige daten sichern, wenn du fertig bist, sag bescheid und es geht weiter.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.11.2010, 13:34   #13
bembel17
 
Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Standard

Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe



Das klingt wirklich unschön! Also heißt es wohl auch Kreditkarte sperren lassen :-( Was für ein Ärger und das völlig aus dem nichts! Als ich den rechner gestern runtergefahren habe, war ja anscheinend (bzw. scheinbar) noch alles in Ordnung. Sehr merkwürdig... Aber letztlich auch egal, nun ist das Kind ja schon in den Brunnen gefallen...

Ok, ich erledige diese Banksachen schnell, sichere ein paar Daten und dann melde ich mich sofort wieder.

Oh mist, da dämmert mir gerade, dass ich die Windows CD, die dem neuen Rechner beilag gar nicht hier habe. Bin vor kurzem umgezogen und sie liegt noch an der alten Anschrift. Die müsste ich mir wohl erst schicken lassen, oder? Oder kann man auch mit etwaigen recovery daten, die derzeit auf der platte gespeichert sind was anfangen?

Vielen, vielen Dank nochmal für deine Mühe!

Alt 14.11.2010, 13:38   #14
markusg
/// Malware-holic
 
Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Standard

Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe



nein, ich würd neu aufsetzen.
naja wenn die cd schnell in den briefkasten kommt, dauert das zusenden nicht lang.
du kannst den rechner nutzen, nur nichts wichtiges damit machen das wäre ungünstig.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.11.2010, 15:04   #15
bembel17
 
Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Standard

Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe



So, die CDs sind schon unterwegs. Mit etwas Glück könnten sie dank Sonntagsleerung morgen schon da sein, dann könnte ich mich abends dran setzen. Auf meinem Rechner war die 32bit Version von Windows 7 vorinstalliert. Da die Kiste 4GB Ram hat, überlege ich, ob ich stattdessen jetzt die beiliegende 64bit Version installiere, wenn ich schonmal dabei bin. Irgendwelche Kommentare dazu? Laufen zB so praktische tools wie Malwarebytes oder ComboFix auch auf einem 64er Betriebssystem?

Meinst, du ich darf dann morgen (oder übermorgen) nochmal auf deine Hilfe zurück greifen? Sollte das auch in diesem Thema des Forums laufen oder besser in einem neuen Thema?

Danke nochmal für die Nothilfe heute und evtl. bis morgen!

PS: Ich war übrigens auch etwas vorschnell. Bei einem kompletten Systemscan mit AntiVir gab es doch noch Funde, allerdings springt der Guard nicht mehr ständig an.

Antwort

Themen zu Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe
antivir, bamital.h, befindet, entferne, entfernen, explorer.exe, hallo zusammen, heute, laptop, malware, melde, meldet, morgen, schadware, spy.96256.37, spyeye.h, tr/spy., troja, trojan, virus, win, windows, windows 7, winini, zusammen



Ähnliche Themen: Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe


  1. Win32:Malware-gen und Trojan.Win32.WinloadSDA.dewcdw und PUA.Win32.Packer.Upx-28 - falsch positive Meldungen?
    Plagegeister aller Art und deren Bekämpfung - 20.09.2014 (1)
  2. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  3. Windows 8.1: Trojan:Win32/Meredrop, Trojan:Win32/Malagent, Trojan:Win32/Matsnu.L und Worm:Win32/Ainslot.A
    Log-Analyse und Auswertung - 19.01.2014 (5)
  4. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  5. Trojan.Win32.Yakes.cmpu und not-a-virus:RemoteAdmin.Win32.WinVNC.mx durch Kasperky gefunden - Vorgehen?
    Log-Analyse und Auswertung - 01.04.2013 (22)
  6. Win32/Kryptik.AOOB trojan / Win32/Ponmocup.AA trojan entfernen ?
    Plagegeister aller Art und deren Bekämpfung - 27.11.2012 (7)
  7. Trojan:Win32/Alureon.FL | PWS:Win32/Fareit.A | Trojan:Win32/Sirefef.P....Auch MBR infiziert?
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (7)
  8. Trojan:Win32/Fakesysdef, Win32/FakeRean und TrojanDownloader:Win32/Karagany.G
    Log-Analyse und Auswertung - 05.01.2012 (2)
  9. formatieren unmöglich....win32 bamital-x
    Plagegeister aller Art und deren Bekämpfung - 03.09.2010 (13)
  10. Win32/Provis!rts, Win32/Ragterneb.A, Win32/Meredrop, Win32/VB.RC, TrojanDropper:Win32/Bamital.C
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (7)
  11. Virus.Win32.Protector.f & Trojan-Dropper.Win32.delf.eu
    Log-Analyse und Auswertung - 19.05.2010 (13)
  12. Trojan.Win32.Cosmu.jnu/Trojan/Win32.Cosmu.gen Befall !!! Kann ihn nicht entfernen !!!
    Log-Analyse und Auswertung - 01.02.2010 (49)
  13. Trojan.Win32.Agent.delx ; Trojan-Downloader.Win32.Agent.bvst; HackTool.Win32.Kiser.fb
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  14. Trojan-Spy.Win32.Pophot.gzv / Trojan.Win32.Buzus.alwl / Virus.Win32.Virut.ce
    Plagegeister aller Art und deren Bekämpfung - 19.02.2009 (1)
  15. Ist Win32:Trojan.Gen. wirklich ein Virus??? Und wie kann ich ihn entfernen???
    Plagegeister aller Art und deren Bekämpfung - 04.10.2007 (7)
  16. brauch hilfe bei: Win32/Oleloa.gen!, Trojan.Win32.Golid.g, Trojan.Win32.Small.ev
    Plagegeister aller Art und deren Bekämpfung - 28.11.2005 (1)
  17. win32.nsag.a agent.eo. blauer Bildschirm / infizierte wininit.dll
    Plagegeister aller Art und deren Bekämpfung - 06.07.2005 (1)

Zum Thema Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe - Hallo zusammen, seit heute morgen meldet mir AntiVir, dass sich Malware auf meinem Windows 7 Laptop befindet. Und zwar meldet es, dass TR/Spy.96256.37 in wininit.exe gefunden wurde. Leider kann AntiVir - Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe...
Archiv
Du betrachtest: Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.