[Windows 7-64 bit] Virus hindert mich am Updaten von AntiVir?!

Hallo,

seit ein paar Tagen funktioniert das Updaten von Antivir bei mir nicht mehr. Ich bekomme immer folgende Fehlermeldung: "beim runter laden der Datei ist ein Fehler aufgetreten". Ich hab nun nachdem ich gegoogelt hab einiges versucht (deinstallieren, reinstallieren, usw...) aber nichts hat geholfen.

Nun hab ich gelesen, dass es sein kann, dass ein Virus mich daran hindert. Deswegen hab ich mal die nötigen Such-Programme laufen lassen.

Hier die logs:

-RSIT: File-Upload.net - log.txt

-MalwareBytes: File-Upload.net - mbam-log-2011-09-02--17-46-49-.txt

Danke für jede Hilfe im voraus.

[Der Leo]

Hallo,

Combofix
Download: Combofix.exe

• Speicher die Combofix.exe auf dem Desktop und führe sie aus.
• User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
• Vor dem Ausführen unbedingt alle Antiviren – Antispyware- Programme deaktivieren. Dies geht meistens per rechtsklick im Systemtray.
• Doppelklick auf die Combofix.exe und befolge die Anweisungen
• Es ist möglich, dass der PC während der Bereinigung neustartet.
• Nach dem Neustart erscheint eine Textdatei.
• Lade bitte das Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.
• Nicht vergessen nach dem Scan alle Antiviren – Antispyware- Programme wieder zu Aktivieren.

Danke für die Hilfe Leo.

Hier der Log vom ComboFix: File-Upload.net - combo.txt

[Der Leo]

Hallo,

das Combofix ist recht lang. Bracu da noch etwas Zeit für.

Gehe wie folgt vor:

OTL
Download: http://oldtimer.geekstogo.com/OTL.exe

1. Doppelklick auf die OTL.exe
2. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
3. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
4. Setze einen Haken Oben bei Scanne alle Benutzer.
5. Unter "Extra Registrierung wähle "Benutze SafeList"
6. Rechts unten Haken setzen bei "LOP Prüfung" und "Purity Prüfung "
7. Kopiere in die Textbox (ohen das Wort Code: )

Code:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

8. Klicke "Scan"
9. Es werden 2 Reporte erstellt:
10. OTL.Txt sowie Extras.Txt
11. Lade bitte das Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Lass dir ruhig Zeit Leo. Ich versuch fürs erste einfach Online-Banking on so was nicht zu benutzen

Hier die beiden logs vom OTL-Scan:

File-Upload.net - Extras.Txt

File-Upload.net - OTL.Txt

[Der Leo]

• Starte bitte die OTL.exe
• Kopiere nun folgendes in die Textbox (ohne das Wort Code: ).

Code:

:OTL
[2009.11.28 00:02:49 | 000,000,000 | ---D | M] -- C:\Users\Mathii\AppData\Roaming\Uniblue
[2009.11.27 16:05:07 | 000,000,000 | ---- | C] () -- C:\Users\Mathii\AppData\Roaming\wklnhst.dat
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[RESETHOSTS]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen Inhalt in deiner nächsten antwort hier reinkopieren.

Hinweis für Mitleser:

Dieses Script wurde speziell für diesen User erstellt.
Es kann nicht auf anderen System (trotz ähnlicher Sympthome) übertragen werden.
Dieses Script kann bei falscher Anwendungen einen Rechner starke schäden anrichten!

Danach bitte dies tun:

• Rechner normal booten.
• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• Danach die PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Hier der log vom OTL.exe:

Code:

All processes killed
========== OTL ==========
C:\Users\Mathii\AppData\Roaming\Uniblue\RegistryBooster\_temp folder moved successfully.
C:\Users\Mathii\AppData\Roaming\Uniblue\RegistryBooster\history folder moved successfully.
C:\Users\Mathii\AppData\Roaming\Uniblue\RegistryBooster\backup folder moved successfully.
C:\Users\Mathii\AppData\Roaming\Uniblue\RegistryBooster folder moved successfully.
C:\Users\Mathii\AppData\Roaming\Uniblue folder moved successfully.
C:\Users\Mathii\AppData\Roaming\wklnhst.dat moved successfully.
========== FILES ==========
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
->Flash cache emptied: 56502 bytes
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: Mathii
->Flash cache emptied: 1931912 bytes
 
User: Public
 
Total Flash Files Cleaned = 2,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Mathii
->Temp folder emptied: 1701 bytes
->Temporary Internet Files folder emptied: 147590 bytes
->Java cache emptied: 5751157 bytes
->FireFox cache emptied: 52816452 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67698 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 56,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.27.0 log created on 09082011_212310

Files\Folders moved on Reboot...
C:\Users\Mathii\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Hier alle logs vom PPF_Scan:
File-Upload.net - PPF_Scan1.rar

[AHT]

Hallo MikeyS....

Ich möchte einer Datei bei dir gerne etwas näher untersuchen.

Mache noch folgendes:

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

SEND_MESSAGE->92.252.121.160
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FILE->92.252.121.160
->81
->C:\ProgramData\FullRemove.exe
->SLEEP->640000
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
  
• Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff.
  
• Wenn du das durchgeführt hast, einmal bitte hier melden.
  

[Der Leo]

Hallo,


wenn du damit fertig bist deinstalliere Alkohol (Deamon Tools) und starte den Rechner neu. Danach bitte wieder hier melden.

Es kann sein das da noch ein Rootkit läuft. Doch wir wissen nicht ob es ein Treiber von Alkohol ist... Von daher muss Alkohol vorerst deinstalliert werden.

Wenn ich das machen will sagt PPFScan "Ungültiges Script!". Soll ich Alcohol trotzdem vorerst löschen?

[Der Leo]

Ja Alcohol trotzdem deinstallieren. Danach hier wieder melden.

Alles klar Leo, habs weg gelöscht.

[AHT]

Probiere es beim PPFScanner mit dem Script:

Code:

SEND_MESSAGE->188.118.160.144
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FILE->188.118.160.144
->81
->C:\ProgramData\FullRemove.exe
SLEEP->640000
END->

OK, habs jetzt hin gekriegt. Hier der Inhalt vom PPF_Scan1-Ordner auf C nachdem ich das gemacht hab AHT:

File-Upload.net - PPF_Scan2.rar

Danke nochmals an euch beide für die Mühe.

[AHT]

Sorry, war gerade nicht online, als du das getan hast - wir machen das später noch mal. Wenn du die Sachen, die LEO genannt hat, deinstalliert hast, mache folgendes:

• PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Wie gesagt, Alcohol muss deinstalliert sein.