Hallo,

mein Nickname hatte ich in der Vergangenheit absult falsch gewählt, das tut jetzt aber nichts zur sache.

Zu meiner Vorgeschichte, hatte in der Vergangenheit nach Malwaresamples gesucht, und hatte auch welche gefunden, wollte damit nicht rumspielen sondern wollte dieverse AV Herstellern die zukommen lassen, also einsenden das Sie diesen Mist halt einpflegen, usw.

Gesagt getahn.

Und nun spinnt mein Rechner.

Malwarebytes' Anti-Malware, startete zwar aber nach ca. 10 sekunden wird es ausgeknippst. Das gleiche mit Super Antispayware, auch aus nach 10 sekunden oder weniger. Avast 6.0 wurde auch ausgeknipst ( mein Fehler hatte ihn abgeschalten, um an die Samples zu kommen) Ins Internet komme ich noch, aber wen ich den Rechner herunterfahren will, tut er nur so, Rechner wird heruntergefahren, dauerrt ein bischen...schawarzer Bildschirm volgt, Rechner leuft aber weiterhin.
Und einen älteren Systemwiederherstellungspunkt kann ich auch nicht einspielen, weil ich Ja meinen Rechner nicht ordnungsgemäss herunter fahren kann.

Habe schon mit mit Emsisoft Emergency Kit einiges löschen könne, und auch mi Kaspersky Rescue CD, und auch mit einer älteren G-Data Bootcd, logs könnte ich nur mit EEK nach reichen.

Nun die Log´s kann nicht alle einbringen hier:

1. Defrogger Log:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:52 on 20/07/2011 (Besitzer)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...

-=E.O.F=-

2. Oldtimer Log.

Gestartet lief ein paar Sekunden geschloßen, also keines vorhanden.

3. Gmer Log.

Gmer gestartet, ca. 20 Minuten laufen lassen, hat sich bei, C:\Dokumente und Einstelungen\Besitzer\JETIdCache aufgehängt.

Windows Xp home Sp3, und ich hoffe auch alle updates.

Ist mein Pc Noch zu retten ?

Ich mache kein Home Banking, und ich kaufe auch so gut wie nie im Internet ein.

Die Firewall, von Windows Xp home wurde dabei auch eingeschaltet, die ich in der Vergangenheit nicht hatte, ich nutze keine FW.

Also ich mein nach der infektion.

Zusatzinformation:

Werde manchmal beim surfen, auf porno, und andere dubiose Seiten umgeleitet.

Zitat:

Zu meiner Vorgeschichte, hatte in der Vergangenheit nach Malwaresamples gesucht, und hatte auch welche gefunden, wollte damit nicht rumspielen sondern wollte dieverse AV Herstellern die zukommen lassen, also einsenden das Sie diesen Mist halt einpflegen, usw.

Wer mit dem Feuer spielt...
Was für Kaliber waren denn dabei?

Hallo, danke das du mir helfen willst.

Leider weiß ich das nicht mer.

Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php

Also habe jetzt MBAM neu installiert (auch esrstmal deinstalliert, habe auch das clean Too von MBAM benutzt) ging auch. Nach ca. 10 Sekunden wurde MBAM ausgeknipst. Nach erneuten starten kommt diese Meldund, von Malwarebytes' Anti-Malware.

Anbei ein screeni.

ImageShack® - Online Photo and Video Hosting

Das gleiche ist auch mit Super Antispyware.

Versuch mal CF:


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Keine cahnce um MBAM richtig durchlaufen zu lasssen, wird wieder nach ca. 10 Sekunde ausgeknipst. Werde es jetzt mal mit CF versuchen.

Danke für deine Hilfe.

Hier nun das CF Log:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-07-21.02 - Besitzer 21.07.2011  17:09:15.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.774 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\EurekaLog
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\EurekaLog\EurekaLog.ini
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\facemoods.com
c:\windows\assembly\GAC_MSIL\desktop.ini
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-06-21 bis 2011-07-21  ))))))))))))))))))))))))))))))
.
.
2011-07-21 14:45 . 2011-07-21 14:45 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2011-07-21 14:45 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-21 14:45 . 2011-07-21 14:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-07-21 14:45 . 2011-07-21 14:45 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-07-21 14:45 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-20 17:49 . 2011-07-20 17:54 -------- d-----w- C:\Tbb-Reports
2011-07-19 09:53 . 2011-07-19 19:01 -------- d-----w- C:\New
2011-07-17 20:39 . 2001-08-17 10:15 442240 -c--a-w- c:\windows\system32\dllcache\fpnpbase.sys
2011-07-17 20:39 . 2001-08-17 10:14 441728 -c--a-w- c:\windows\system32\dllcache\fpcmbase.sys
2011-07-17 20:39 . 2001-08-17 10:14 444416 -c--a-w- c:\windows\system32\dllcache\fpcibase.sys
2011-07-17 20:39 . 2008-04-13 20:05 34173 -c--a-w- c:\windows\system32\dllcache\forehe.sys
2011-07-17 20:39 . 2001-08-18 02:53 71680 -c--a-w- c:\windows\system32\dllcache\fnfilter.dll
2011-07-17 20:39 . 2001-08-17 10:13 27165 -c--a-w- c:\windows\system32\dllcache\fetnd5.sys
2011-07-17 20:39 . 2001-08-17 10:10 22090 -c--a-w- c:\windows\system32\dllcache\fem556n5.sys
2011-07-17 20:26 . 2001-08-17 10:13 91305 -c--a-w- c:\windows\system32\dllcache\dimaint.sys
2011-07-17 20:25 . 2001-08-18 02:21 14208 -c--a-w- c:\windows\system32\dllcache\bulltlp3.sys
2011-07-17 20:22 . 2001-08-17 12:07 101888 -c--a-w- c:\windows\system32\dllcache\adpu160m.sys
2011-07-16 19:31 . 2011-07-16 19:31 -------- d-----w- c:\programme\Nitro PDF
2011-07-14 18:19 . 2011-07-14 18:22 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\vlc
2011-07-07 18:57 . 2011-07-07 18:57 -------- d-----w- c:\programme\CCleaner
2011-07-07 18:42 . 2011-07-07 18:42 -------- d-----w- C:\WINSSLog
2011-06-28 18:04 . 2002-04-16 14:15 2670080 ----a-w- c:\windows\system32\MMToolsX2.OCX
2011-06-28 18:04 . 2001-05-04 01:34 834560 ----a-w- c:\windows\system32\MMWaveX2.OCX
2011-06-28 18:04 . 2001-01-20 22:14 428032 ----a-w- c:\windows\system32\MMTYPESX2.OCX
2011-06-28 18:03 . 2011-06-28 18:24 -------- d-----w- c:\programme\Radio-SkyPipe II
2011-06-28 17:54 . 2011-06-28 17:55 -------- d-----w- c:\programme\Spectrograph
2011-06-28 17:54 . 2011-06-28 18:03 249856 ------w- c:\windows\Setup1.exe
2011-06-28 17:54 . 2011-06-28 18:03 73216 ----a-w- c:\windows\ST6UNST.EXE
2011-06-27 16:37 . 2011-06-27 16:41 -------- d-----w- C:\Testxyz
2011-06-21 20:41 . 2011-06-21 20:41 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\IObit
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-06 19:56 . 2011-05-14 19:58 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-06 11:35 . 2002-08-29 12:00 1859072 ----a-w- c:\windows\system32\win32k.sys
2011-05-02 15:31 . 2010-05-21 08:33 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2002-08-29 12:00 151552 ----a-w- c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2002-08-29 12:00 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-26 11:07 . 2002-08-29 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-04-26 11:07 . 2002-08-29 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-04-25 16:05 . 2002-08-29 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 16:05 . 2002-08-29 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-04-25 16:05 . 2002-08-29 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2010-05-21 17:28 385024 ----a-w- c:\windows\system32\html.iec
2011-05-18 17:05 . 2011-05-18 17:05 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2009-08-06 . 62BB79160F86CD962F312C68C6239BFD . 53472 . . [7.4.7600.226] . . c:\windows\system32\dllcache\wuauclt.exe
[7] 2008-04-14 . 65E60C18DDB0215C201FF75E32D564C8 . 111616 . . [5.4.3790.5512] . . c:\windows\ServicePackFiles\i386\wuauclt.exe
[-] 2002-08-29 . 83F9C79B435C356C79273DC6378D860B . 141824 . . [5.4.3630.1106] . . c:\windows\$NtServicePackUninstall$\wuauclt.exe
.
c:\windows\System32\wuauclt.exe ... Fehlt !!
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-07-05 2424192]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-11-02 421888]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]
.
c:\dokumente und einstellungen\Besitzer\Startmen�\Programme\Autostart\
setup_9.0.0.722_20.06.2011_06-11.lnk - c:\dokumente und einstellungen\Besitzer\Desktop\DE-Cleaner powered by Kaspersky\setup_9.0.0.722_20.06.2011_06-11\startup.exe [N/A]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Printkey2000.lnk - c:\programme\PrintKey2000\Printkey2000.exe [2011-4-16 869376]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Programme\\SUPERAntiSpyware\\SUPERANTISPYWARE.EXE"=
"c:\\Programme\\NoVirusThanks\\Malware Remover Free\\NMR.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Google\\Update\\GoogleUpdate.exe"=
.
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 20:41 67656]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [30.07.2008 07:51 277736]
S1 MpKsl4ddbf866;MpKsl4ddbf866;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{3BD67CDF-851B-495F-96B5-22DFB5D1DA94}\MpKsl4ddbf866.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{3BD67CDF-851B-495F-96B5-22DFB5D1DA94}\MpKsl4ddbf866.sys [?]
S1 MpKslb0ae6f0f;MpKslb0ae6f0f;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{BA88F73A-5A6E-41D2-B8A9-5DFD1786F2D1}\MpKslb0ae6f0f.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{BA88F73A-5A6E-41D2-B8A9-5DFD1786F2D1}\MpKslb0ae6f0f.sys [?]
S1 MpKslc382eb50;MpKslc382eb50;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{A2D41DB4-63C8-4942-A191-279982425BCE}\MpKslc382eb50.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{A2D41DB4-63C8-4942-A191-279982425BCE}\MpKslc382eb50.sys [?]
S2 DBService;DATA BECKER Update Service;c:\programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe --> c:\programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [28.05.2010 09:23 130560]
S2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe  -run --> c:\windows\system32\hasplms.exe  -run [?]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [28.05.2010 09:23 130560]
.
Inhalt des "geplante Tasks" Ordners
.
2011-02-18 c:\windows\Tasks\GlaryInitialize.job
- c:\programme\Glary Utilities\initialize.exe [2011-02-18 10:28]
.
2011-07-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-28 07:23]
.
2011-07-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-28 07:23]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
IE: Save Page As PDF ... - file://c:\programme\Nitro PDF\PDF Download\nitroweb.htm
TCP: DhcpNameServer = 192.168.2.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\b7k82og4.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=17241
FF - prefs.js: browser.search.selectedEngine - Facemoods Search
FF - prefs.js: browser.startup.homepage - hxxp://start.facemoods.com/?a=ddr
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=adbartrp&AF=17241&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-NoVirusThanks Malware Remover Free Startup - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-07-21 17:14
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
.
c:\windows\$NtUninstallKB23203$:SummaryInformation 0 bytes hidden from API
.
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{3610eda5-77ef-11d2-8dc5-00c04fa31a66}]
@DACL=(02 0000)
@="Microsoft-Datenträgerkontingent"
"NoMachinePolicy"=dword:00000000
"NoUserPolicy"=dword:00000001
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"RequiresSuccessfulRegistry"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000000
"DllName"=expand:"dskquota.dll"
"ProcessGroupPolicy"="ProcessGroupPolicy"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}]
@DACL=(02 0000)
@="Internet Explorer Zonemapping"
"DllName"="c:\\WINDOWS\\system32\\iedkcs32.dll"
"ProcessGroupPolicy"="ProcessGroupPolicyForZoneMap"
"NoGPOListChanges"=dword:00000001
"RequiresSucessfulRegistry"=dword:00000001
"DisplayName"="@c:\\WINDOWS\\system32\\iedkcs32.dll.mui,-3051"
"RequiresSuccessfulRegistry"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{7B849a69-220F-451E-B3FE-2CB811AF94AE}]
@DACL=(02 0000)
@="Internet Explorer User Accelerators"
"DisplayName"="@c:\\WINDOWS\\system32\\iedkcs32.dll.mui,-3051"
"DllName"="c:\\WINDOWS\\system32\\iedkcs32.dll"
"NoGPOListChanges"=dword:00000001
"ProcessGroupPolicy"="ProcessGroupPolicyForActivities"
"ProcessGroupPolicyEx"="ProcessGroupPolicyForActivitiesEx"
"RequiresSuccessfulRegistry"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}]
@DACL=(02 0000)
"ProcessGroupPolicy"="SceProcessSecurityPolicyGPO"
"GenerateGroupPolicy"="SceGenerateGroupPolicy"
"ExtensionRsopPlanningDebugLevel"=dword:00000001
"ProcessGroupPolicyEx"="SceProcessSecurityPolicyGPOEx"
"ExtensionDebugLevel"=dword:00000001
"DllName"=expand:"scecli.dll"
@="Security"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000001
"MaxNoGPOListChangesInterval"=dword:000003c0
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}]
@DACL=(02 0000)
"ProcessGroupPolicyEx"="ProcessGroupPolicyEx"
"GenerateGroupPolicy"="GenerateGroupPolicy"
"ProcessGroupPolicy"="ProcessGroupPolicy"
"DllName"="c:\\WINDOWS\\system32\\iedkcs32.dll"
@="Internet Explorer Branding"
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000001
"NoMachinePolicy"=dword:00000001
"DisplayName"="@c:\\WINDOWS\\system32\\iedkcs32.dll.mui,-3014"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}]
@DACL=(02 0000)
"ProcessGroupPolicy"="SceProcessEFSRecoveryGPO"
"DllName"=expand:"scecli.dll"
@="EFS recovery"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"RequiresSuccessfulRegistry"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B587E2B1-4D59-4e7e-AED9-22B9DF11D053}]
@DACL=(02 0000)
@="802.3 Group Policy"
"DisplayName"=expand:"@dot3gpclnt.dll,-100"
"ProcessGroupPolicyEx"="ProcessLANPolicyEx"
"GenerateGroupPolicy"="GenerateLANPolicy"
"DllName"=expand:"dot3gpclnt.dll"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{C631DF4C-088F-4156-B058-4375F0853CD8}]
@DACL=(02 0000)
@="Microsoft Offline Files"
"DllName"=expand:"%SystemRoot%\\System32\\cscui.dll"
"EnableAsynchronousProcessing"=dword:00000000
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000000
"NoMachinePolicy"=dword:00000000
"NoSlowLink"=dword:00000000
"NoUserPolicy"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"ProcessGroupPolicy"="ProcessGroupPolicy"
"RequiresSuccessfulRegistry"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}]
@DACL=(02 0000)
@="Softwareinstallation"
"DllName"=expand:"appmgmts.dll"
"ProcessGroupPolicyEx"="ProcessGroupPolicyObjectsEx"
"GenerateGroupPolicy"="GenerateGroupPolicy"
"NoBackgroundPolicy"=dword:00000000
"RequiresSucessfulRegistry"=dword:00000000
"NoSlowLink"=dword:00000001
"PerUserLocalSettings"=dword:00000001
"EventSources"=multi:"(Application Management,Application)\00(MsiInstaller,Application)\00\00"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}]
@DACL=(02 0000)
@="Internet Explorer Machine Accelerators"
"DisplayName"="@c:\\WINDOWS\\system32\\iedkcs32.dll.mui,-3051"
"DllName"="c:\\WINDOWS\\system32\\iedkcs32.dll"
"NoGPOListChanges"=dword:00000001
"ProcessGroupPolicy"="ProcessGroupPolicyForActivities"
"ProcessGroupPolicyEx"="ProcessGroupPolicyForActivitiesEx"
"RequiresSuccessfulRegistry"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
@DACL=(02 0000)
"DllName"="c:\\Programme\\SUPERAntiSpyware\\SASWINLO.DLL"
"Logon"="SABWINLOLogon"
"Logoff"="SABWINLOLogoff"
"Startup"="SABWINLOStartup"
"Shutdown"="SABWINLOShutdown"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
@DACL=(02 0000)
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=expand:"crypt32.dll"
"Logoff"="ChainWlxLogoffEvent"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
@DACL=(02 0000)
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=expand:"cryptnet.dll"
"Logoff"="CryptnetWlxLogoffEvent"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
@DACL=(02 0000)
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy]
@DACL=(02 0000)
"Asynchronous"=dword:00000001
"DllName"=expand:"%SystemRoot%\\System32\\dimsntfy.dll"
"Startup"="WlDimsStartup"
"Shutdown"="WlDimsShutdown"
"Logon"="WlDimsLogon"
"Logoff"="WlDimsLogoff"
"StartShell"="WlDimsStartShell"
"Lock"="WlDimsLock"
"Unlock"="WlDimsUnlock"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
@DACL=(02 0000)
"Asynchronous"=dword:00000000
@=""
"Impersonate"=dword:00000000
"DllName"="c:\\WINDOWS\\system32\\klogon.dll"
"Logon"="WLEventStop"
"Startup"="WLEventStart"
"Lock"="WLEventStart"
"Unlock"="WLEventStop"
"Logoff"="WLEventStart"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
@DACL=(02 0000)
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
@DACL=(02 0000)
"Asynchronous"=dword:00000000
"DllName"=expand:"wlnotify.dll"
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
@DACL=(02 0000)
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=expand:"sclgntfy.dll"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
@DACL=(02 0000)
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
@DACL=(02 0000)
"Asynchronous"=dword:00000000
"DllName"=expand:"wlnotify.dll"
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
@DACL=(02 0000)
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
@DACL=(02 0000)
"Hilfeassistent"=dword:00000000
"TsInternetUser"=dword:00000000
"SQLAgentCmdExec"=dword:00000000
"NetShowServices"=dword:00000000
"HelpAssistant"=dword:00000000
"IWAM_"=dword:00010000
"IUSR_"=dword:00010000
"VUSR_"=dword:00010000
.
Zeit der Fertigstellung: 2011-07-21  17:16:11
ComboFix-quarantined-files.txt  2011-07-21 15:16
.
Vor Suchlauf: 23 Verzeichnis(se), 135.537.741.824 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 135.841.173.504 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
.
- - End Of File - - BB864A6792C3EFFC52B9F310F7969A2D
         

--- --- ---

Ist das richtige, und habe ich alles richtig gemach. Ich glaube ich habe ein Rootkit drauf, laut CF Log, oder ?

Funktioniert Malwarebytes jetzt?

Nein leider nicht, hatte es gerade wieder versucht(natürlich Neu installiert, und mit den clean Tool auch noch herangegangen). Das gleiche wie vorher.
Was mir aufgefallen ist, das ich mein PW fürs Forum erneut eingeben mußte, um hier wieder zu posten. Und ich kann meinen Rechner nicht ordnungsgemäs Heruntefahren, bzw. Neustarten, er tut manchmal so herunterzufahren, Bildschirm ist schawarz, der Computer leuft aber weiter. Oder er bleib bei dem Bild der Computer wird heruntergefahren, dann bleibt er einfach stehen, dann mache ich einen Rest, oder ich schalte den Netzschalter am Computer aus. Anderes kann ich es im momment nicht machen.

Wie geht es weiter ?

Ach Ja, die Windows Fire Wall mischt sich ab und zu ein.

Hatte ich aber immer ausgeschaltet.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Ja bin gerade dabei, wwollte die alte OTL.exe lösche ging aber nicht weil ich dei nicht runter bring. Habe erneut herunter geladen, und eifach unbenennt, müßte so auch gehen, oder ?