Hallo zusammen,und zwar habe ich folgendes Problem :

Seit 2Tagen bricht die Internetverbindung plötzlich ab, den Task-Manager kann ich auch nicht mehr starten weil folgende Meldung erscheint :
Der Task-Manager wurde durch den Adminstrator deaktiviert.
Als es das erste mal passiert ist kam eine Meldung dass meine Firewall deaktiviert wurde (oO).
Ich hoffe man kann mir helfen ,wenn noch was is : fragen.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:27:21, on 18.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnpstd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Yahoo!\Search Protection\SearchProtection.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\audit.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
E:\Programme\opera.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\winwwos.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\rfumj.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxxp://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*hxxxp://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxxp://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxxp://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*hxxxp://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxxp://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*hxxxp://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxxp://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*hxxxp://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - E:\Programme\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [YSearchProtection] "C:\Programme\Yahoo!\Search Protection\SearchProtection.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Search Protection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe
O4 - HKCU\..\Run: [explorer] C:\WINDOWS\system32\audit.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{934FA3AC-0E29-4055-AEAF-EBFAF9CB360B}: NameServer = 217.0.43.33 217.0.43.17
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 6766 bytes
         

Hallo,

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\audit.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\winwwos.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\rfumj.exe
         

Bitte danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hey,erstmal danke für die Hilfe

Die Dateien die rauskamen
File-Upload.net - Data.rar

Virustotal klapt bei mir nicht aber habnun ein andres problem:

Die erste Datei die ich scannen sollte gibts bei mir nicht, die andren beiden finde ich nicht , schon "C:\DOKUME~1" gibts nicht,was soll dieses DOKUME~1 sein ?

C:\DOKUME~1 ist die alte DOS-Schreibweise für Datei- und Ordnernamen mit mehr als acht Zeichen. C:\DOKUME~1 ist nichts weiter als C:\Dokumente und Einstellungen

Bitte ComboFix ausführen, genau an folgende Instruktionen halten!!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Die Dateien finde ich immernoch nicht,obwohl ich in dem Ordner suche und alle Dateien angezeigt werden (Einstellung Ordneroptionen).

Ich starte gleich mal "smss.exe" und melde mich wenns fertig ist

Und wieder ein frisches RSIT Log bitte.

File-Upload.net - log.txt

Code: Alles auswählenAufklappen

ATTFilter

C:\DOKUME~1\Iliri\LOKALE~1\Temp\lpwcx.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\wineart.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\winlmajs.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\xjxk.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\winbmdf.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\xlqwb.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\winrmfyib.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\winxqeuhb.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\winmlyhmv.exe
         

Du hast ständig solche aktiven Prozesse drin, obwohl ich mit "herkömmlichen" Methoden keine verantwortlichen Einträge ausfindig machen kann.

ich vermute daher ein aktives Rootkit bei Dir auf dem Rechner. Wenn Du weiter machen willst, dann befolge die Anleitung zu GMER, ansonsten kannst Du auch einfach und effektiv dem Spuk ein Ende bereiten: Formatieren und Neuaufsetzen.

Edit: Schau auch mal bitte nach, ob Du eine der Dateien bei Virustotal auswerten lassen kannst. Falls keine mehr da ist mit den Dateinamen: Das scheinen zufällig generierte Dateinamen im Temppfad zu sein, werte dann eine aus, die in etwa das gleiche Dateinamensmuster haben.

Ah..ich wollte von anfang an genau dieses neu aufsetzen verhindern aber mir war klar dass es letzten endes die bessere wahl ist ..

Vielen Dank für deine bisherige Hilfe ^^ Kannst du mir viellt Tipps geben worauf ich achten muss damit sowas nicht wieder passiert?


Mhh..nun müsste ich schaun wo ich diese verflixte CD gelassen hab ..

edit: diese verflixte virustotal seite lässt sich nicht öffnen :/ sonst würde ich gerne was posten

Mich würde bevor Du neu aufsetzt, aber das Ergebnis von GMER interessieren.
Lt. MalwareBytes war/ist da ein Bifrost-Backdoor aktiv

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-22 16:11:18
Windows 5.1.2600 Service Pack 2
Running: kc3kuqv4.exe; Driver: C:\DOKUME~1\Iliri\LOKALE~1\Temp\pgtdrpob.sys


---- System - GMER 1.0.15 ----

SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwCreateKey [0xF7730D72]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwCreateProcess [0xF77119A6]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwCreateProcessEx [0xF7711B98]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwDeleteKey [0xF7731568]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwDeleteValueKey [0xF7731820]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwOpenKey [0xF772FA80]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwRenameKey [0xF7731C8A]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwSetValueKey [0xF7731036]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                                                                    ZwTerminateProcess [0xF7711656]

---- Kernel code sections - GMER 1.0.15 ----

?               C:\WINDOWS\system32\drivers\mgnrql.sys                                                                             Das System kann die angegebene Datei nicht finden. !

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW]    [6113A40D] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA]      [6113A33F] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]    [61139C3F] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW]      [6113A37F] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\USER32.dll [GDI32.dll!GetStockObject]      [6113909F] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]   [6113A40D] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA]     [6113A33F] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!GetProcAddress]   [61139C3F] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryW]     [6113A37F] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHLWAPI.dll [GDI32.dll!GetStockObject]     [6113909F] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA]  [6113A3BF] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW]  [6113A40D] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW]    [6113A37F] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA]    [6113A33F] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]  [61139C3F] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DefWindowProcA]    [61139856] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DefWindowProcW]    [61139856] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!GetSysColor]       [61138FE2] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TrackPopupMenu]    [61138F66] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TrackPopupMenuEx]  [61138FA4] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHELL32.dll [GDI32.dll!GetStockObject]     [6113909F] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]    [6113A33F] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW]    [6113A37F] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]  [61139C3F] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW]  [6113A40D] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExA]  [6113A3BF] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!AnimateWindow]     [611390DD] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TrackPopupMenuEx]  [61138FA4] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!DefWindowProcA]    [61139856] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetSysColor]       [61138FE2] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!DefWindowProcW]    [61139856] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetSysColorBrush]  [611390A5] C:\Programme\Yahoo!\Messenger\yui.dll
IAT             C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[912] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TrackPopupMenu]    [61138F66] C:\Programme\Yahoo!\Messenger\yui.dll

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                           fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         

Mehr ging nicht,muss jezz los und der Rechner kann nich an bleiben

Ok, letzter Versuch (nein ich gebe nicht auf )

A. das "alte" Combofix deinstallieren über Start, Ausführen combofix /U eintippen und mit Ok bestätigen

B. Combofix erneut herunterladen, wieder in die smss.exe schon beim Downloaden umbenennen

C. Scripten mit Combofix:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. VORSICHT lange Liste!!

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Rootkit::
C:\WINDOWS\system32\drivers\mgnrql.sys
C:\DOKUME~1\Iliri\LOKALE~1\Temp\lpwcx.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\wineart.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\winlmajs.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\xjxk.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\winbmdf.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\xlqwb.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\winrmfyib.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\winxqeuhb.exe
C:\DOKUME~1\Iliri\LOKALE~1\Temp\winmlyhmv.exe

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\DOKUME~1\Iliri\LOKALE~1\Temp\lpwcx.exe"=-
"C:\DOKUME~1\Iliri\LOKALE~1\Temp\wineart.exe"=-
"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winlmajs.exe"=-
"C:\DOKUME~1\Iliri\LOKALE~1\Temp\xjxk.exe"=-
"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winbmdf.exe"=-
"C:\DOKUME~1\Iliri\LOKALE~1\Temp\xlqwb.exe"=-
"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winrmfyib.exe"=-
"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winxqeuhb.exe"=-
"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winmlyhmv.exe"=-
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die umbenannte combofix.exe (smss.exe in Deinem Fall), so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Wie gesagt,ist nicht die komplette Liste gewesen,hab unterbrochen bzw gestoppt

soll ich das neue nun machen oder erstmal das komplette GMER posten ?

Das mit Combofix haste noch nicht gemacht? mach ruhig mal.