Tja, da surft man mal 1, 2 Wochen ohnen aktiven Schutz und schon ist der PC verseucht...

Aufgefallen ist es dadurch, dass ich keine richtigen Admin-REchte mehr habe, obwohl ich natürlich als Admin angemeldet bin. Kann z.B. keine CDs brennen und keine Platten defragmentieren. Zudem zeigen mir installierte Programme plötzlich an, dass sich mein System verändert hätte und dadurch der Aktivierungs-Schlüssel nun ungültig sei.

Diverse Schutz-Software wird geblockt, kann man teils starten, teils nur mit geändertem Namen und teils gar nicht.

Ich habe schon ein wenig versucht zu reparieren und konnte wohl auch was entfernen, aber der dicke Virus/Wurm/Trojaner oder was auch immer sitzt wohl immer noch tief im PC. Daher benötige ich nun Eure Hilfe - ich hoffe ich habe durch meine eigene Suche nicht noch mehr kaputt gemacht...

Der wohl momentan dicke Fissch ist das Ding, dass sich als UAC tarnt, der wurde mit HiJack nicht erkannt, jedoch unter GMER.

HiJackthis kann ich derzeit leider ausführen.. ist gesperrt (habe keine Rechte, die Datei zu öffnen???), aber der zeigte nach meiner Bereinigung der anderen Seuchen zuletzt keine schädlichen Dinge mehr an.

Combofix funktioniert übrigens auch nicht - habs aber noch nicht im abgesicherten Modus versucht, das werd ich gleich noch tun.

Falls Ihr mehr Infos braucht, dann sagt mir bitte was ich machen soll.

DANKE!!!

GMER 1.0.15.15077 [4s2xtxb3.exe] - http://www.gmer.net
Rootkit scan 2009-09-06 08:49:18
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.15 ----

Code 8658BC00 ZwEnumerateKey
Code 86589038 ZwFlushInstructionCache
Code 865908BE IofCallDriver
Code 86592A1E IofCompleteRequest
Code 8658793D ZwSaveKey
Code 866ECF45 ZwSaveKeyEx

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!ZwSaveKey 804DD6E8 5 Bytes JMP 86587942
.text ntoskrnl.exe!ZwSaveKeyEx 804DD6FC 5 Bytes JMP 866ECF4A
.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 865908C3
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 86592A23
PAGE ntoskrnl.exe!ZwEnumerateKey 80570D64 5 Bytes JMP 8658BC04
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80577693 5 Bytes JMP 8658903C

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\csrss.exe[412] KERNEL32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\WINDOWS\system32\winlogon.exe[436] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\WINDOWS\system32\services.exe[484] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\WINDOWS\system32\lsass.exe[496] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\WINDOWS\system32\svchost.exe[672] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text ...
.text C:\Programme\Mozilla Firefox\firefox.exe[892] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01360001
.text C:\Programme\Mozilla Firefox\firefox.exe[892] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Mozilla Firefox\firefox.exe[892] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\Mozilla Firefox\firefox.exe[892] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\Mozilla Firefox\firefox.exe[892] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 012F29A0 \\?\globalroot\systemroot\system32\UACvkkwnvdmui.dll
.text C:\Programme\Mozilla Firefox\firefox.exe[892] WS2_32.dll!connect 71A14A07 5 Bytes JMP 012F27E0 \\?\globalroot\systemroot\system32\UACvkkwnvdmui.dll
.text C:\Programme\Mozilla Firefox\firefox.exe[892] WS2_32.dll!send 71A14C27 5 Bytes JMP 012F27C0 \\?\globalroot\systemroot\system32\UACvkkwnvdmui.dll
.text C:\Programme\Mozilla Firefox\firefox.exe[892] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Mozilla Firefox\firefox.exe[892] iphlpapi.dll!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\WINDOWS\system32\svchost.exe[940] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\WINDOWS\system32\svchost.exe[984] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\WINDOWS\Explorer.EXE[1180] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 01560001
.text C:\WINDOWS\Explorer.EXE[1180] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\Explorer.EXE[1180] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\Explorer.EXE[1180] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\WINDOWS\Explorer.EXE[1180] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\Explorer.EXE[1180] iphlpapi.dll!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\Programme\Tall Emu\Online Armor\OAcat.exe[1264] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\Programme\Tall Emu\Online Armor\oasrv.exe[1304] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00EE0001
.text C:\Programme\Tall Emu\Online Armor\oasrv.exe[1304] user32.dll!LoadStringW 7E369E36 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Tall Emu\Online Armor\oasrv.exe[1304] user32.dll!LoadStringA 7E37C908 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\LEXBCES.EXE[1492] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\WINDOWS\system32\spoolsv.exe[1520] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\WINDOWS\system32\LEXPPS.EXE[1528] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1580] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\WINDOWS\system32\svchost.exe[1684] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text ...
.text C:\Dokumente und Einstellungen\xxxxxxxxx\Desktop\a-squared Free\a2service.exe[1956] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 0045494D C:\Dokumente und Einstellungen\Claas\Desktop\a-squared Free\a2service.exe (a-squared Service/Emsi Software GmbH)
.text C:\WINDOWS\system32\wuauclt.exe[2080] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00C20001
.text C:\WINDOWS\system32\wuauclt.exe[2080] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\wuauclt.exe[2080] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\wuauclt.exe[2080] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\WINDOWS\system32\wuauclt.exe[2080] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\RunDll32.exe[2384] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00D20001
.text C:\WINDOWS\system32\RunDll32.exe[2384] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\RunDll32.exe[2384] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\RunDll32.exe[2384] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\WINDOWS\system32\RunDll32.exe[2384] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Java\jre1.6.0_06\bin\jusched.exe[2592] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00B70001
.text C:\Programme\Java\jre1.6.0_06\bin\jusched.exe[2592] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Java\jre1.6.0_06\bin\jusched.exe[2592] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\Java\jre1.6.0_06\bin\jusched.exe[2592] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\Java\jre1.6.0_06\bin\jusched.exe[2592] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\PTBSync\PTBSync.exe[2632] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00DA0001
.text C:\Programme\PTBSync\PTBSync.exe[2632] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\PTBSync\PTBSync.exe[2632] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\PTBSync\PTBSync.exe[2632] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\PTBSync\PTBSync.exe[2632] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\PTBSync\PTBSync.exe[2632] ole32.dll!CoCreateInstanceEx 774D0526 6 Bytes JMP 5F130F5A
.text C:\Programme\PTBSync\PTBSync.exe[2632] ole32.dll!CoCreateInstance 774D057E 6 Bytes JMP 5F100F5A
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2672] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00DF0001
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2672] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2672] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2672] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2672] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2672] ole32.dll!CoCreateInstanceEx 774D0526 6 Bytes JMP 5F130F5A
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2672] ole32.dll!CoCreateInstance 774D057E 6 Bytes JMP 5F100F5A
.text C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe[2804] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00F90001
.text C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe[2804] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe[2804] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe[2804] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe[2804] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe[2804] iphlpapi.dll!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\WINDOWS\System32\svchost.exe[2824] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\NETGEAR\WG111v2\WG111v2.exe[3000] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00B10001
.text C:\Programme\NETGEAR\WG111v2\WG111v2.exe[3000] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\NETGEAR\WG111v2\WG111v2.exe[3000] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\NETGEAR\WG111v2\WG111v2.exe[3000] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\NETGEAR\WG111v2\WG111v2.exe[3000] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\NETGEAR\WG111v2\WG111v2.exe[3000] iphlpapi.dll!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\Programme\NETGEAR\WG111v2\WG111v2.exe[3000] ole32.dll!CoCreateInstanceEx 774D0526 6 Bytes JMP 5F160F5A
.text C:\Programme\NETGEAR\WG111v2\WG111v2.exe[3000] ole32.dll!CoCreateInstance 774D057E 6 Bytes JMP 5F130F5A
.text C:\Dokumente und Einstellungen\Claas\Desktop\4s2xtxb3.exe[3632] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00CD0001
.text C:\Dokumente und Einstellungen\Claas\Desktop\4s2xtxb3.exe[3632] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Dokumente und Einstellungen\Claas\Desktop\4s2xtxb3.exe[3632] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Dokumente und Einstellungen\Claas\Desktop\4s2xtxb3.exe[3632] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Dokumente und Einstellungen\Claas\Desktop\4s2xtxb3.exe[3632] user32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Dokumente und Einstellungen\Claas\Desktop\4s2xtxb3.exe[3632] ole32.dll!CoCreateInstanceEx 774D0526 6 Bytes JMP 5F130F5A
.text C:\Dokumente und Einstellungen\Claas\Desktop\4s2xtxb3.exe[3632] ole32.dll!CoCreateInstance 774D057E 6 Bytes JMP 5F100F5A

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F7A82300] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F7A82360] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F7A82610] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F7A82650] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F7A82610] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F7A82360] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F7A82300] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F7A82610] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F7A82650] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F7A82300] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F7A82360] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)

---- Devices - GMER 1.0.15 ----

Device \Driver\Tcpip \Device\Ip OAmon.sys (TDI Helper Driver/Tall Emu)
Device \Driver\Tcpip \Device\Tcp OAmon.sys (TDI Helper Driver/Tall Emu)
Device \Driver\Tcpip \Device\Udp OAmon.sys (TDI Helper Driver/Tall Emu)
Device \Driver\Tcpip \Device\RawIp OAmon.sys (TDI Helper Driver/Tall Emu)
Device \Driver\Tcpip \Device\IPMULTICAST OAmon.sys (TDI Helper Driver/Tall Emu)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\UACvkkwnvdmui.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [672] 0x02900000
Library \\?\globalroot\systemroot\system32\UAComxwjwhost.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [672] 0x02C30000
Library \\?\globalroot\systemroot\system32\UACvkkwnvdmui.dll (*** hidden *** ) @ C:\Programme\Mozilla Firefox\firefox.exe [892] 0x012E0000
Library \\?\globalroot\systemroot\system32\UACvkkwnvdmui.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [2824] 0x10000000

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\UACmtnbmqpmev.sys (*** hidden *** ) [SYSTEM] UACd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACmtnbmqpmev.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACmtnbmqpmev.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACpekdgebhyf.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACvkkwnvdmui.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACuqnqxhosix.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACdardiychwq.db
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UAComxwjwhost.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACjrxvxdprus.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACerrors \\?\globalroot\systemroot\system32\UACrjnomykxer.log
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACmtnbmqpmev.sys
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACmtnbmqpmev.sys
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACpekdgebhyf.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACvkkwnvdmui.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACuqnqxhosix.dat
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACdardiychwq.db
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UAComxwjwhost.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACjrxvxdprus.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACerrors \\?\globalroot\systemroot\system32\UACrjnomykxer.log
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

---- EOF - GMER 1.0.15 ----

Lies dir bitte folgendes durch und poste die ERgebnisse der dort unter 2. gelisteten Programme:
http://www.trojaner-board.de/69886-a...-beachten.html