Hier geht nix mehr...

der.kasper · 14.12.2006, 11:09

Ich hab hier irgendein Tier drauf - komme nirgendwo mehr dran: Taskmanager, Eigenschaften, Outlook, Nero geht nicht mehr. AntiVirus-Software startet nicht (Adaware, AVZ, Spybot, BFU) oder findet nichts (Stinger 2.6, Antivir, a2forfree, AntiVirus GAS).
Kann mir jemand helfen, damit ich zumindest die Daten sichern kann?

HJT-Log anbei (ich hoffe, das ist ok, poste das erste Mal)... vielen Dank im Voraus für Eure Mühe :-))

Logfile of HijackThis v1.99.1
Scan saved at 10:53:18, on 14.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Panasonic\Multi-Function Station\StatusMon.exe
C:\WINDOWS\system32\KMDEVMONSRV.exe
C:\WINDOWS\System32\KMdevmonx.exe
C:\Programme\ISDNWatch\Iwatch.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\OLLIKL~1\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\explorer.exe
D:\Programme\totalcmd\TOTALCMD.EXE
E:\zzz Bela sein Kram\ AntiVirus Tight Version\HiJack this\199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Programme\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Panasonic Multifunktionaler Statusmonitor.lnk = D:\Programme\Panasonic\Multi-Function Station\StatusMon.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\ISDNWatch\Iwatch.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesde.dll
O16 - DPF: JT's Blocks - http://download2.games.yahoo.com/games/clients/y/blt1_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download2.games.yahoo.com/games/clients/y/poti_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{95810781-E906-4FD7-B504-9CA72EE8A853}: NameServer = 81.14.243.9 81.14.244.9
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programme\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Multi-Function Station Device Monitor (KMDevmonSrv) - Unknown owner - C:\WINDOWS\system32\KMDEVMONSRV.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\OLLIKL~1\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

ApexX · 14.12.2006, 12:27

C:\WINDOWS\system32\KMDEVMONSRV.exe
C:\WINDOWS\System32\KMdevmonx.exe
C:\DOKUME~1\OLLIKL~1\LOKALE~1\TEMP\_VWUPSRV.EXE

Ich denke das sind schonmal Viren.

O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\OLLIKL~1\LOKALE~1\TEMP\_VWUPSRV.EXE
Ist das ein Fake oder kennst du dieses Programm?

Hast du schonmal versucht im abgesicherten Modus ein Virenscan durchzuführen?

Ich hatte letztens ein ähnliches Problem, wo ich den Taskman nicht mehr öffnen konnte. Dafür konnte ich aber noch ein Virenscan durchführen (im abgesichertern Modus) und konnte so scheinbar den Computer so weit es geht befreien

der.kasper · 14.12.2006, 20:26

Ich hatte vorhin schon mal versucht, zu antworten und konnte nicht - das Internet scheint jetzt auch nicht mehr zu funktionieren.

Habe alles gelöscht, was Du da angegeben hast - ohne Erfolg. Abgesicherter Modus geht nicht, bootet gar nicht erst, auch nicht von Knoppix oder Bart-PE oder sowas - das Tier wehrt sich mit Zähnen und Klauen.

Neu aufsetzen ist nicht zu vermeiden - aber ich hätte halt gerne die Daten irgendwie gerettet...

Danke jedenfalls...

Hier geht nix mehr...

Plagegeister aller Art und deren Bekämpfung: Hier geht nix mehr...