Guten Tag.

Seit einer Weile ist mein Taskmanager und der Regedit Befehl gesperrt.
Ich habe dann versucht mithifle von TuneUp in die Registry Einträge zu kommen und auch mit Erfolg die Werte für DisableTsk-und Regedit geändert.
Nun ändert sich der Wert aber trotzdem noch auf 1. Beim Löschen passiert das gleiche. Ich weiß nicht was ich machen soll pls help.

Hier mein HijackThis Log-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:03:43, on 29.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\Java\jre1.5.0\bin\jucheck.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 4777 bytes

Hi cryx !

Fixe mit Hijackthis

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

Ich kann auf Deinem System weder einen Antivirescanner erkennen (ausser SpywareDr.), noch das Dein System aktuell ist !

Lade Dir nach dem fixen antivir runter, und lass dieses durchlaufen.
+ Malwareantispy !

Bring Dein System "UPTODATE" !!!!!

Sp2 = SP3
InternetExplorer= 8

Mfg
Martin

Hi cryx,

bitte NICHTS mit dem Namen Malwareantispy herunterladen!

Die Chancen, dass es sich dabei selbst um einen Schädling handelt sind sehr groß!

Arbeite stattdessen bitte folgendes ab:

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hast du das Antivirenprogramm von SpywareDoctor oder nur das Antispywareprogramm?

lg myrtille

Danke für die Antworten.

Also wegen dem miesen Systemstatus, das liegt daran das ich meinen Computer neuformatiert habe, wegen den Viren. Aber nach allem habe ich ihn immer noch. Antivirusprogramm wollte ich noch installieren, SpywareDoctor war nur eine Testversion, zum Anzeigen der Viren die ich momentan habe.

Hier der Logfile von RootRepeal:

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/08/29 15:44
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP2
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF3DEA000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7D63000 Size: 8192 File Visible: No Signed: -
Status: -

Name: injpjl.sys
Image Path: C:\WINDOWS\system32\drivers\injpjl.sys
Address: 0xF7D69000 Size: 5184 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB7B3F000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\RootRepeal report 08-29-09 (15-44-25).txt
Status: Visible to the Windows API, but not on disk.

Path: C:\System Volume Information\_restore{8C838208-7A1B-4DD7-9822-E5D11F44F8F1}\RP45\sessionstore.js
Status: Locked to the Windows API!

Path: C:\System Volume Information\_restore{8C838208-7A1B-4DD7-9822-E5D11F44F8F1}\RP45\A0012537.exe
Status: Visible to the Windows API, but not on disk.

Path: C:\System Volume Information\_restore{8C838208-7A1B-4DD7-9822-E5D11F44F8F1}\RP45\A0012538.EXE
Status: Visible to the Windows API, but not on disk.

Path: C:\System Volume Information\_restore{8C838208-7A1B-4DD7-9822-E5D11F44F8F1}\RP45\A0012539.EXE
Status: Visible to the Windows API, but not on disk.

Path: C:\System Volume Information\_restore{8C838208-7A1B-4DD7-9822-E5D11F44F8F1}\RP45\A0012540.EXE
Status: Visible to the Windows API, but not on disk.

Path: c:\dokumente und einstellungen\besitzer\anwendungsdaten\mozilla\firefox\profiles\pjs9dosa.default\sessionstore.js
Status: Size mismatch (API: 16729, Raw: 16693)

Path: c:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\mozilla\firefox\profiles\pjs9dosa.default\cache\_cache_001_
Status: Size mismatch (API: 1052069, Raw: 1031404)

Path: c:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\mozilla\firefox\profiles\pjs9dosa.default\cache\_cache_002_
Status: Size mismatch (API: 1020998, Raw: 979145)

Path: c:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\mozilla\firefox\profiles\pjs9dosa.default\cache\_cache_003_
Status: Size mismatch (API: 2926791, Raw: 2918149)

==EOF==


_____________________________________________________________

Ein Logfile ist anghänht das andere ist aber zu groß

Hi,


das sieht gar nicht gut aus Du wirst wohl nochmal formatieren müssen.

Könntest du bitte das fehlende Log bei file-upload hochladen und den Downloadlink hier angeben.

Ich werde dich dann noch eine Datei zur Kontrolle bei Virustotal auswerten lassen, aber du solltest dir diese Anleitung zum Neuaufsetzen schonmal durchlesen.

lg myrtille

Guten Morgen,

hört sich aber nicht gut an. Sind es sehr viele kritische Viren die ich auf dem Rechner habe? Ich bin mir sogar fast sicher das es von einer meiner Sicherungsdateien ist, die infiziert worden ist und bei der Neuinstallation wieder in das System kam.

Hier ist der OTL-Log:
http://www.file-upload.net/download-1855976/OTL.Txt.html

Hi,

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\winrkikv.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Wenn winrkikv.exe nicht mehr da ist, dann schau ob du eine andere Datei findest, die mit win***.exe heißt, wobei *** durch beliebige Buchstaben ersetzt werden kann.

Sehr viel deutet daraufhin, dass du dir Sality eingefangen hast. Das ist ein Virus, der deine ausführbaren Dateine infiziert, wenn du also Setups oder Updates vom infizierten Rechner auf den neuaufgesetzten Rechner kopiert hast, dann wirst du dich damit infiziert haben.
Außerdem infiziert Sality alle externen Medien, sodass diese beim anschließen an einen Rechner, den Rechner ebenfalls infizieren.

Suche bitte alle deine externen Medien zusammen.
Download den Flash Disinfector von sUBs und speichere die Datei auf Deinem Desktop.

• Bitte trenne den Rechner vom Netz (WLAN nicht vergessen).
• Schalte Antiviren-Programm und Firewall ab.
• Alle USB-Sticks und externe Medien anschließen.
• Starte die Flash_Disinfector.exe durch Doppelklick. Folge ggfs. den Anweisungen.
• Dein Desktop wird kurzfristig verschwinden und dann wiederkommen, das ist normal.
• Warte, bis das Programm den Scan beendet hat, dann schließe das Programm.

Damit sollten deine externen Medien gesäubert sein und keine weiteren Rechner infizieren können.

Schau dir schonmal die Anleitung zum Neuaufsetzen an, vor allem ist wichtig, dass du keine ausführbaren Dateien sicherst (exe,com, scr,pif, etc).

lg myrtille