Hallo zusammen,und zwar habe ich folgendes Problem :

Seit 2Tagen bricht die Internetverbindung plötzlich ab, den Task-Manager kann ich auch nicht mehr starten weil folgende Meldung erscheint :
Der Task-Manager wurde durch den Adminstrator deaktiviert.
Als es das erste mal passiert ist kam eine Meldung dass meine Firewall deaktiviert wurde (oO).
Ich hoffe man kann mir helfen ,wenn noch was is : fragen.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:27:21, on 18.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnpstd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Yahoo!\Search Protection\SearchProtection.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\audit.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
E:\Programme\opera.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\winwwos.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\rfumj.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxxp://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*hxxxp://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxxp://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxxp://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*hxxxp://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxxp://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*hxxxp://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxxp://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*hxxxp://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - E:\Programme\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [YSearchProtection] "C:\Programme\Yahoo!\Search Protection\SearchProtection.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Search Protection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe
O4 - HKCU\..\Run: [explorer] C:\WINDOWS\system32\audit.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{934FA3AC-0E29-4055-AEAF-EBFAF9CB360B}: NameServer = 217.0.43.33 217.0.43.17
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 6766 bytes
         

Hallo,

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\audit.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\winwwos.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\rfumj.exe
         

Bitte danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hey,erstmal danke für die Hilfe

Die Dateien die rauskamen
File-Upload.net - Data.rar

Virustotal klapt bei mir nicht aber habnun ein andres problem:

Die erste Datei die ich scannen sollte gibts bei mir nicht, die andren beiden finde ich nicht , schon "C:\DOKUME~1" gibts nicht,was soll dieses DOKUME~1 sein ?

C:\DOKUME~1 ist die alte DOS-Schreibweise für Datei- und Ordnernamen mit mehr als acht Zeichen. C:\DOKUME~1 ist nichts weiter als C:\Dokumente und Einstellungen

Bitte ComboFix ausführen, genau an folgende Instruktionen halten!!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Die Dateien finde ich immernoch nicht,obwohl ich in dem Ordner suche und alle Dateien angezeigt werden (Einstellung Ordneroptionen).

Ich starte gleich mal "smss.exe" und melde mich wenns fertig ist

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 09-09-18.02 - xxx 19.09.2009 14:12.1.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.737 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-515967899-261903793-725345543-1004
c:\recycler\S-1-5-21-515967899-261903793-725345543-1005
c:\windows\system32\Icon_SmartFTP.exe.exe
c:\windows\system32\Plugins
c:\windows\system32\Plugins\Mime.ini
c:\windows\system32\Plugins\MozillaEdit.exe
c:\windows\system32\Plugins\NPLeechGet.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-08-19 bis 2009-09-19  ))))))))))))))))))))))))))))))
.

2009-09-19 07:20 . 2009-09-19 07:20	--------	d-----w-	C:\rsit
2009-09-19 07:19 . 2009-09-19 07:19	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2009-09-19 07:19 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-19 07:19 . 2009-09-19 07:19	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2009-09-19 07:19 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-18 15:08 . 2009-09-18 15:08	--------	d-----w-	c:\programme\Empire Interactive
2009-09-18 13:58 . 2008-12-11 06:38	159600	----a-w-	c:\windows\system32\drivers\pctgntdi.sys
2009-09-18 13:58 . 2009-08-24 12:05	206256	----a-w-	c:\windows\system32\drivers\PCTCore.sys
2009-09-18 13:58 . 2009-08-19 09:01	86888	----a-w-	c:\windows\system32\drivers\PCTAppEvent.sys
2009-09-18 13:58 . 2009-09-18 14:00	--------	d-----w-	c:\programme\Gemeinsame Dateien\PC Tools
2009-09-18 13:58 . 2008-12-10 09:36	64392	----a-w-	c:\windows\system32\drivers\pctplsg.sys
2009-09-18 13:58 . 2009-09-19 10:07	--------	d-----w-	c:\programme\Spyware Doctor
2009-09-18 13:58 . 2009-09-18 13:58	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\PC Tools
2009-09-18 13:58 . 2009-09-18 13:58	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\PC Tools
2009-09-18 13:58 . 2009-09-19 11:38	--------	d---a-w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2009-09-18 10:52 . 2009-09-18 10:52	43520	----a-w-	c:\windows\system32\CmdLineExt03.dll
2009-09-10 11:08 . 2009-09-10 11:09	--------	d-----w-	c:\dokumente und einstellungen\yyy\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-09-09 11:15 . 2009-09-09 11:15	--------	d-----w-	c:\dokumente und einstellungen\yyy\Lokale Einstellungen\Anwendungsdaten\Google
2009-09-08 16:52 . 2009-09-08 16:52	--------	d-----w-	c:\programme\Java
2009-09-08 16:46 . 2009-09-08 16:52	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-09-07 06:01 . 2009-09-07 08:24	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\uTorrent
2009-09-05 15:23 . 2009-09-05 15:23	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\SmartFTP
2009-09-05 15:23 . 2009-09-05 16:27	--------	d-----w-	c:\programme\SmartFTP Client
2009-09-05 15:22 . 2009-09-05 16:26	--------	d-----w-	c:\programme\SmartFTP Client 4.0 Setup Files
2009-09-05 14:47 . 2009-09-05 14:58	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\WSG32
2009-09-04 13:56 . 2009-09-04 13:56	--------	d-----w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-08-30 22:53 . 2009-08-30 22:53	--------	d--h--r-	c:\dokumente und einstellungen\yyy\Anwendungsdaten\yahoo!
2009-08-30 20:25 . 2009-08-30 20:25	--------	d-----w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Yahoo
2009-08-30 20:23 . 2009-08-30 20:23	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Yahoo!
2009-08-30 20:23 . 2009-08-30 20:23	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Yahoo! Companion
2009-08-30 20:22 . 2009-08-30 20:25	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Yahoo!
2009-08-30 20:22 . 2009-08-30 20:23	--------	d-----w-	c:\programme\Yahoo!
2009-08-29 12:54 . 2009-08-29 12:54	--------	d-----w-	C:\Fiaa
2009-08-29 11:52 . 2009-08-29 11:52	25280	----a-w-	c:\windows\system32\drivers\hamachi.sys
2009-08-29 11:50 . 2009-09-13 16:05	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Hamachi
2009-08-28 13:15 . 2009-08-28 13:15	--------	d-----w-	C:\Mp3 Output
2009-08-28 13:15 . 2009-06-08 13:33	8676883	----a-w-	c:\windows\system32\mp3Media2.dll
2009-08-26 12:11 . 2007-05-17 15:30	318976	----a-w-	c:\windows\system32\avisynth.dll
2009-08-26 12:11 . 2004-02-22 08:11	719872	----a-w-	c:\windows\system32\devil.dll
2009-08-26 12:11 . 2006-04-12 07:47	217073	----a-w-	c:\windows\meta4.exe
2009-08-26 12:11 . 2006-04-05 06:09	66560	----a-w-	c:\windows\MOTA113.exe
2009-08-26 12:11 . 2005-07-14 10:31	27648	----a-w-	c:\windows\system32\AVSredirect.dll
2009-08-26 12:05 . 2009-08-26 12:05	499712	----a-w-	c:\windows\system32\msvcp71.dll
2009-08-26 12:05 . 2009-08-26 12:05	348160	----a-w-	c:\windows\system32\msvcr71.dll
2009-08-25 21:41 . 2009-08-25 21:41	--------	d-----w-	c:\programme\aod
2009-08-25 14:02 . 2009-08-25 19:07	--------	d-----w-	c:\programme\Real
2009-08-24 20:04 . 2004-08-03 21:10	17024	-c--a-w-	c:\windows\system32\dllcache\ccdecode.sys
2009-08-24 20:04 . 2004-08-03 21:10	17024	----a-w-	c:\windows\system32\drivers\CCDECODE.sys
2009-08-24 20:03 . 2002-07-03 09:44	53248	----a-w-	c:\windows\amcap.exe
2009-08-24 20:03 . 2004-02-16 11:59	61440	----a-w-	c:\windows\system32\csnpstd.dll
2009-08-22 07:15 . 2009-08-22 07:15	--------	d-----w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google
2009-08-21 22:08 . 2009-08-21 22:11	--------	d-----w-	c:\dokumente und einstellungen\yyy\Anwendungsdaten\Skype

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-15 09:54 . 2008-12-02 16:57	96	---ha-w-	c:\windows\system32\HsInfo.dat
2009-09-07 14:45 . 2009-08-04 11:24	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-09-06 13:58 . 2009-08-08 13:25	--------	d-----w-	c:\programme\TuneUp Utilities 2009
2009-09-05 15:10 . 2009-08-05 19:28	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ
2009-08-29 11:02 . 2009-08-07 15:19	--------	d-----w-	c:\dokumente und einstellungen\yyy\Anwendungsdaten\ICQ
2009-08-26 12:05 . 2008-09-26 20:16	--------	d-----w-	c:\programme\Gemeinsame Dateien\Real
2009-08-25 20:50 . 2009-08-06 15:33	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2009-08-25 20:50 . 2009-08-06 15:34	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM
2009-08-24 20:03 . 2008-10-19 10:05	--------	d-----w-	c:\programme\Gemeinsame Dateien\snpstd
2009-08-20 06:17 . 2009-08-20 06:17	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org
2009-08-16 12:38 . 2009-08-16 11:19	--------	d-----w-	c:\dokumente und einstellungen\yyy\Anwendungsdaten\AVS4YOU
2009-08-16 12:38 . 2009-08-01 17:23	--------	d-----w-	c:\programme\AVS4YOU
2009-08-16 12:32 . 2009-08-16 12:32	--------	d-----w-	c:\dokumente und einstellungen\yyy\Anwendungsdaten\TuneUp Software
2009-08-16 11:19 . 2009-08-16 11:19	--------	d-----w-	c:\dokumente und einstellungen\yyy\Anwendungsdaten\DivX
2009-08-16 11:19 . 2009-08-16 11:19	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\AVS4YOU
2009-08-14 13:24 . 2009-08-14 13:24	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\DivX
2009-08-14 12:42 . 2009-08-14 12:42	--------	d-----w-	c:\programme\Gemeinsame Dateien\DivX Shared
2009-08-14 04:58 . 2009-09-18 13:58	7396	----a-w-	c:\windows\system32\drivers\pctcore.cat
2009-08-09 16:47 . 2009-08-05 19:23	13296	----a-w-	c:\dokumente und einstellungen\yyy\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-09 16:12 . 2009-08-05 19:19	13296	----a-w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-08 13:25 . 2009-08-08 13:25	604488	----a-w-	c:\windows\system32\TUProgSt.exe
2009-08-08 13:25 . 2009-08-08 13:25	361288	----a-w-	c:\windows\system32\TuneUpDefragService.exe
2009-08-08 13:25 . 2009-08-08 13:25	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\TuneUp Software
2009-08-08 13:25 . 2009-08-08 13:25	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software
2009-08-08 13:24 . 2009-08-08 13:24	--------	d-sh--w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-08-07 20:30 . 2009-08-07 20:30	--------	d-----w-	c:\dokumente und einstellungen\yyy\Anwendungsdaten\MSNInstaller
2009-08-06 15:33 . 2009-08-06 15:33	--------	d-----r-	c:\programme\Skype
2009-08-06 15:33 . 2009-04-30 20:07	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2009-08-06 15:33 . 2009-08-06 15:33	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype
2009-08-05 21:02 . 2001-08-23 12:00	82776	----a-w-	c:\windows\system32\perfc007.dat
2009-08-05 21:02 . 2001-08-23 12:00	453122	----a-w-	c:\windows\system32\perfh007.dat
2009-08-05 21:01 . 2009-08-05 21:01	--------	d-----w-	c:\programme\MSBuild
2009-08-05 20:58 . 2009-08-05 20:58	--------	d-----w-	c:\programme\Reference Assemblies
2009-08-05 20:40 . 2009-08-05 20:40	138	----a-w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-08-05 19:23 . 2009-08-05 19:23	--------	d-----w-	c:\dokumente und einstellungen\yyy\Anwendungsdaten\T-Online
2009-08-05 19:16 . 2009-08-05 19:16	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\T-Online
2009-08-05 19:16 . 2009-08-05 19:16	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online
2009-08-05 19:16 . 2008-09-26 10:40	--------	d-----w-	c:\programme\Gemeinsame Dateien\Marmiko Shared
2009-08-05 19:00 . 2008-09-21 12:08	21740	----a-w-	c:\windows\system32\emptyregdb.dat
2009-08-05 18:20 . 2009-07-01 09:49	2100	----a-w-	c:\windows\system32\nodes.txt.tmp
2009-08-04 14:19 . 2009-08-04 14:19	--------	d-----w-	c:\programme\Software Informer
2009-08-04 11:24 . 2009-08-04 11:24	--------	d-----w-	c:\programme\AskBarDis
2009-08-04 11:24 . 2009-08-04 11:24	--------	d-----w-	c:\programme\DVDVideoSoft
2009-08-03 10:37 . 2009-08-01 13:18	--------	d-----w-	c:\dokumente und einstellungen\zzz\Anwendungsdaten\vlc
2009-08-01 22:15 . 2009-08-01 13:42	--------	d-----w-	c:\programme\ICQ6Toolbar
2009-08-01 19:21 . 2009-08-01 19:21	--------	d-----w-	c:\dokumente und einstellungen\zzz\Anwendungsdaten\AVS4YOU
2009-08-01 19:21 . 2009-08-01 19:21	--------	d-----w-	c:\dokumente und einstellungen\zzz\Anwendungsdaten\DivX
2009-08-01 17:24 . 2009-08-01 17:24	--------	d-----w-	c:\programme\Gemeinsame Dateien\AVSMedia
2009-08-01 16:52 . 2009-08-01 16:51	--------	d-----w-	c:\programme\Avidemux 2.5
2009-08-01 13:37 . 2009-03-29 15:17	--------	d-----w-	c:\programme\Windows Live Safety Center
2009-07-31 11:07 . 2009-07-31 11:07	--------	d-----w-	c:\programme\Gemeinsame Dateien\Sony Ericsson Shared
2009-07-31 11:07 . 2009-06-29 12:25	--------	d-----w-	c:\programme\Gemeinsame Dateien\Teleca Shared
2009-07-31 11:07 . 2009-07-31 11:07	--------	d-----w-	c:\programme\Sony Ericsson
2009-07-15 09:48 . 2009-08-08 13:25	29000	----a-w-	c:\windows\system32\uxtuneup.dll
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\programme\opera\program\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\programme\opera\program\plugins\ssldivx.dll
2006-05-03 10:06 . 2008-09-26 20:28	163328	--sha-r-	c:\windows\system32\flvDX.dll
2009-03-30 12:47 . 2009-02-20 19:39	848	--sha-w-	c:\windows\system32\KGyGaAvL.sys
2007-02-21 11:47 . 2008-09-26 20:28	31232	--sha-r-	c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-09-26 20:28	27648	--sha-w-	c:\windows\system32\Smab0.dll
2008-02-04 19:26 . 2008-09-26 20:28	151040	--sha-w-	c:\windows\system32\VistaUltm.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"Messenger (Yahoo!)"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2009-05-26 4420848]
"Search Protection"="c:\programme\Yahoo!\Search Protection\SearchProtection.exe" [2009-02-23 111856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-08-26 280080]
"YSearchProtection"="c:\programme\Yahoo!\Search Protection\SearchProtection.exe" [2009-02-23 111856]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-08 149280]
" Malwarebytes Anti-Malware  (reboot)"="e:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1385808]
"Cmaudio"="cmicnfg.cpl" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2009-04-29 338432]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programme\\ICQ6.5\\ICQ.exe"=
"e:\\Spiele\\S4\\S4Client.exe"=
"e:\\Spiele\\LF2.5\\lf2.5\\lf2.5.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\Programme\\hamachi.exe"=
"e:\\Spiele\\AOE II\\EMPIRES2.EXE"=
"e:\\Programme\\opera.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"e:\\Spiele\\One Piece Most Wanted\\One Piece - Most Wanted 0.1.exe"=
"c:\\PROGRAMME\\T-ONLINE\\T-ONLINE_SOFTWARE_6\\BROWSER\\BROWSER.EXE"=
"c:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe"=
"c:\\PROGRA~1\\T-Online\\T-ONLI~1\\BASIS-~1\\Basis2\\kernel.exe"=
"c:\\Programme\\T-Online\\T-Online_Software_6\\Basis-Software\\Basis2\\kernel.exe"=
"c:\\PROGRA~1\\T-Online\\T-ONLI~1\\Notifier\\Notifier.exe"=
"e:\\Programme\\Malwarebytes' Anti-Malware\\mbamgui.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [18.09.2009 15:58 206256]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [26.09.2008 12:41 61440]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [08.08.2009 15:25 604488]
R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\mgnrql.sys --> c:\windows\system32\drivers\mgnrql.sys [?]
R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [26.01.2009 20:12 17536]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [26.08.2009 20:21 27632]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [26.09.2008 12:41 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [26.01.2009 20:13 17152]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [26.08.2009 20:21 89256]
S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [26.08.2009 20:21 15016]
S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [26.08.2009 20:21 120744]
S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [26.08.2009 20:21 114216]
S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [26.08.2009 20:21 25512]
S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [26.08.2009 20:21 110632]
S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [26.08.2009 20:21 115752]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [18.09.2009 15:58 348752]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - PROCEXP113
*Deregistered* - PROCEXP113

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv	REG_MULTI_SZ   	Tapisrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-09-19 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-07-15 10:07]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com/
mStart Page = hxxp://de.yahoo.com
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com
IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-19 14:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2009-09-19 14:18
ComboFix-quarantined-files.txt  2009-09-19 12:17

Vor Suchlauf: 13 Verzeichnis(se), 15.886.077.952 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 16.556.118.016 Bytes frei

266
         

combofix hat sich immer wieder von alleine zurück zu "ComboFix.exe" umbenannt,auch wenn ichs wieder unbenannt hab : letzten endes hieß es wieder so, hat das was zu bedeuten?

Dass ComboFix sich umbenennt dürfte i.O. gehen.
Läuft der Taskmanager wieder? Kannst Du die Windows-Firewall wieder aktivieren?

Erstell bitte auch ein neues RSIT-Logfile und poste es. (wieder über file-upload.)

Task Manager geht nicht :

Der Task-Manager wurde durch den Adminstrator deaktiviert.

Firewall ist ok

File-Upload.net - log.txt

1. Einträge mit HijackThis fixen

Bitte alle Anwendungen inkl. Browser schließen und folgende Einträge mit HJT fixen (falls noch vorhanden):
Starte HijackThis => Do a system scan only => mache vor folgenden Zeilen einen Haken (sofern diese noch existieren) und klicke dann unten den Button "Fix checked":

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [YSearchProtection] "C:\Programme\Yahoo!\Search Protection\SearchProtection.exe"
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
         

2. Avenger
Direkt nach dem Fixen den Avenger bitte anwenden:

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

registry values to delete:
HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | "C:\DOKUME~1\Iliri\LOKALE~1\Temp\agxmi.exe"
HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winybynd.exe"
HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkrxlse.exe"
HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkoolr.exe"
HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winnubkoa.exe"
HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winfdql.exe"

files to delete:
C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\agxmi.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\winybynd.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkrxlse.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkoolr.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\winnubkoa.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\winfdql.exe
C:\WINDOWS\system32\drivers\mgnrql.sys
C:\WINDOWS\system32\npptNT2.sys

drivers to delete:
abp470n5
npptNT2
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not delete registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\agxmi.exe""
Deletion of registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\agxmi.exe"" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not delete registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winybynd.exe""
Deletion of registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winybynd.exe"" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not delete registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkrxlse.exe""
Deletion of registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkrxlse.exe"" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not delete registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkoolr.exe""
Deletion of registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkoolr.exe"" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not delete registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winnubkoa.exe""
Deletion of registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winnubkoa.exe"" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not delete registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winfdql.exe""
Deletion of registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winfdql.exe"" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe" deleted successfully.

Error:  file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\agxmi.exe" not found!
Deletion of file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\agxmi.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winybynd.exe" not found!
Deletion of file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winybynd.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkrxlse.exe" not found!
Deletion of file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkrxlse.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkoolr.exe" not found!
Deletion of file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkoolr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winnubkoa.exe" not found!
Deletion of file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winnubkoa.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winfdql.exe" not found!
Deletion of file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winfdql.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\drivers\mgnrql.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\mgnrql.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\system32\npptNT2.sys" deleted successfully.
Driver "abp470n5" deleted successfully.
Driver "npptNT2" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Es kam allerdings immer wieder die Meldung dass ich nichts in der Registry verloren hätte weil ich kein Admin bin(Tut mir Leid,den genauen Wortlaut weiss ich nicht mehr).
Ich bin aber schon Admin.


Edit: Kriege immer eine Fehlermeldung :
Generic Host Process for Win32 Services hat ein Problem festgestellt und muss beendet werden.

So,nun passieren merkwürdige Dinge <<

Zum einen diese Fehlermeldung aus meinem vorherigen Post, nun krieg ich beim Internetabsturz auch so eine Meldung:



Und dann verändert sich die Ansicht,sprich : Anstatt diesem Standard blauen Balken von WindowsXP, krieg ich dieses alte graue Design von damals als Taskleiste.

edit:hab grad ein wenig im internet rumgesucht,könnte es sein dass tuneup09 die adminstratorrecht deaktiviert hat?

Was willst Du überhaupt mit der T-Online-Software?? Die brauchst Du nicht, um ins Internet zu gehen, selbst ohne Router. WinXP hat schon passende DSL-Treiber dabei => Ratgeber: DSL einrichten unter Windows XP - Netzwerktotal.de

Hast Du die Einträge mit HijackThis gefixt? Wenn ja, bitte ein neues Logfile erstellen und hier posten.

Langsam vermute ich auch, dass der Schädlingsbefall Dein aktuelles Benutzerprofil gelöscht hat. Erstell mal bitte unter Systemsteuerung, Benutzer und Passwörter ein neues Konto mit Adminrechten und ein zweites mit einfachen Benutzerrechten.

Teste mit dem zweiten Adminkonto wie die Sache da aussieht, mit dem eingeschränkten Konto solltest Du in Zukunft arbeiten, denn man surft nicht mit Adminrechten!

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:25:54, on 19.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnpstd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\7zS4A.tmp\Setup.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
E:\Programme\opera.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\rhlja.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\winkqtk.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis\HijackThis.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\7zS4A.tmp\Data\WindowsXP-KB973507-x86-DEU.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\7zS36B.tmp\update\update.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxxp://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*hxxxp://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - E:\Programme\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "E:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [KB923561] rundll32.exe apphelp.dll,ShimFlushCache
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{934FA3AC-0E29-4055-AEAF-EBFAF9CB360B}: NameServer = 217.0.43.33 217.0.43.17
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Unknown owner - C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe (file missing)

--
End of file - 6629 bytes
         

Das mit den andren Konten versuch ich nun mal

Irgendwas muss ich da noch übersehen, oder es versteckt sich hartnäckig
Da sind immer noch solche laufenden Prozesse:

Code: Alles auswählenAufklappen

ATTFilter

C:\DOKUME~1\xxx\LOKALE~1\Temp\rhlja.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\winkqtk.exe
         

Hat das mit den Konten geklappt? Mach doch auch mal mit einem anderen Tool noch Logfiles, es nennt sich OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.