Trojaner-Board - Keinen Zugriff auf Taskmanager / Firewall wird laufend deaktiviert

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Keinen Zugriff auf Taskmanager / Firewall wird laufend deaktiviert (https://www.trojaner-board.de/55879-keinen-zugriff-taskmanager-firewall-laufend-deaktiviert.html)

Keinen Zugriff auf Taskmanager / Firewall wird laufend deaktiviert

Hallo

Ich muss mich wegen zwei Problemen an euch wenden, da ich leider keine Ahnung von Viren, Trojanern etc. habe.
Würde mich sehr über Hilfe und Tipps freuen.
Mit freundlichen Grüßen Fabian.

Firewall.
Vor gut 3 Stunden habe ich das erste mal eine Fehlermeldung von Windows bekommen. Die Meldung sieht so aus: Imageshack.us . Egal ob ich nun auf Enable gehe oder einfach nur oben rechts schliesse, jedesmal wird meine Firewall deaktiviert. Jedoch passiert das nicht nur nach dieser Meldund sondern auch zwischendurch.

Taskmanager:
Beim spielen eines PC-Spiels habe ich plötzlich die Meldung bekommen das mein Taskmanger durch den Administrator deaktiviert wurde. Sehr verwunderlich da ich der Administrator bin. Jedenfalls kann ich den Taskmanager weder über strg+alt+entf öffnen noch Ausführen/taskmgr.exe .
Bei beiden Varianten kriege ich die Fehlermeldung "Der Task-Manager wurde durch den Administrator deaktiviert.

Hier sind die Files der Programme die ich mal ausgeführt habe: Hijackthis, Malwarebytes, dss ( ich habe auch versucht gmer.exe scannen zu lassen, jedoch stürzt mein Rechner jedesmal ab wenn der Scan läuft.

HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:45:08, on 13.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bmlgnerc\jgholqnw.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\pozetkvq.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PC-Antispy Site Blocker Button - {60B244BE-559D-4269-B96E-CD264D828EC9} - ??? (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [PC-Antispy] "C:\Programme\PC-Antispy\PC-Antispy.exe" hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [qswmdklt] C:\WINDOWS\system32\pozetkvq.exe
O4 - HKLM\..\Policies\Explorer\Run: [Y1EwQLFS20] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bmlgnerc\jgholqnw.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: .security
O4 - Global Startup: .security
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: SysEnUi - {1D384819-A8C8-15B0-C33C-0914C0C07514} - C:\Programme\jytskfc\SysEnUi.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5162 bytes

Malwarebytes
Malwarebytes' Anti-Malware 1.20
Datenbank Version: 944
Windows 5.1.2600 Service Pack 3

13:21:40 13.07.2008
Malwarebytes

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|)
Objekte gescannt: 67442
Scan Dauer: 12 minute(s), 39 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 38
Infizierte Registrierungswerte: 4
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 8
Infizierte Dateien: 78

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{60b244be-559d-4269-b96e-cd264d828ec9} (Rogue.PCAntispy) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44a1-9f4543d34545} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcantispy (Rogue.PCAntispy) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcantispy (Rogue.PCAntispy) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pc-antispy (Rogue.PCAntispy) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\PC-Antispy (Rogue.PCAntispy) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\PC-Antispy (Rogue.PCAntispy) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\uninstall (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\mwc (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pc-antispy (Rogue.PCAntispy) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> No action taken.
C:\Programme\akl (Fake.Dropped.Malware) -> No action taken.
C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> No action taken.
C:\Programme\PC-Antispy (Rogue.PCAntispy) -> No action taken.
C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\PC-Antispy (Rogue.PCAntispy) -> No action taken.
C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\PC-Antispy\logs (Rogue.PCAntispy) -> No action taken.
C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\PC-Antispy\startup (Rogue.PCAntispy) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Mr_Fire\Desktop\PCAntispy_Installer_eng.exe (Rogue.Installer) -> No action taken.
C:\Dokumente und Einstellungen\Mr_Fire\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7R2OF495\PCAntispy_Installer_eng[1].exe (Rogue.Installer) -> No action taken.
C:\WINDOWS\system32\drivers\pcantispy.sys (Rogue.PCAntispy) -> No action taken.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> No action taken.
C:\Programme\akl\akl.dll (Fake.Dropped.Malware) -> No action taken.
C:\Programme\akl\akl.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\akl\uninstall.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\akl\unsetup.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\PC-Antispy\ASpyPopUpBlk.dll (Rogue.PCAntispy) -> No action taken.
C:\Programme\PC-Antispy\ASpyStBlk.dll (Rogue.PCAntispy) -> No action taken.
C:\Programme\PC-Antispy\PC-Antispy.db (Rogue.PCAntispy) -> No action taken.
C:\Programme\PC-Antispy\PC-Antispy.exe (Rogue.PCAntispy) -> No action taken.
C:\Programme\PC-Antispy\pcantispy.pkg (Rogue.PCAntispy) -> No action taken.
C:\Programme\PC-Antispy\program.info (Rogue.PCAntispy) -> No action taken.
C:\Programme\PC-Antispy\Uninstall.exe (Rogue.PCAntispy) -> No action taken.
C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\PC-Antispy\config.xml (Rogue.PCAntispy) -> No action taken.
C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\PC-Antispy\Sites.bl (Rogue.PCAntispy) -> No action taken.
C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\PC-Antispy\logs\1215946127.log (Rogue.PCAntispy) -> No action taken.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\bdn.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\emesx.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\medup012.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\medup020.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\thun.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vbsys2.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> No action taken.

DSS
Logs zu lang. Ich habe sie auf File-Upload.net hochgeladen
Main
http://www.file-upload.net/download-976132/main.txt.html
Extra
http://www.file-upload.net/download-976136/extra.txt.html

Das sieht nicht wirklich gut aus. Folge mal den Links in meiner Signatur zu blacklight und DSS, poste beide Logs mit Code-Tags umschlossen.

Blacklight hat mir keinen Log ausgestellt, ich hab mal ein Bild davon gemacht imageshack.us

DSS hat mir diesmaln nur einen Main Log hergestellt. Hoffe damit könnt ihr etwas anfangen
Die Datei musste ich hochladen da sie über die Zeichenlänge hinausgeht.

Da ist einiges an Malware im System! Man kann nicht versprechen, daß eine Bereinigung hier überhaupt noch erfolgreich sein kann.

Wagen wir mal einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Habe den CCleaner und Combofix über das System laufen lassen bzw. ausgeführt. Mein Task-Manager ist nun wieder erreichbar.
Das Problem mit der Fehlermeldung und der Firewall besteht leider jedoch weiterhin.
Muss ich nun zum überprüfen, ob weitere Malware vorhanden ist, noch einmal bestimmte Programe ausführen?

Ergebnis von ComboFix

Code:

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Programme\akl

C:\Programme\akl\akl.dll

C:\Programme\akl\akl.exe

C:\Programme\akl\uninstall.exe

C:\Programme\akl\unsetup.exe

C:\Programme\Inet Delivery

C:\Programme\Inet Delivery\inetdl.exe

C:\Programme\Inet Delivery\intdel.exe

C:\WINDOWS\a.bat

C:\WINDOWS\base64.tmp

C:\WINDOWS\bdn.com

C:\WINDOWS\FVProtect.exe

C:\WINDOWS\iTunesMusic.exe

C:\WINDOWS\mslagent

C:\WINDOWS\mslagent\2_mslagent.dll

C:\WINDOWS\mslagent\mslagent.exe

C:\WINDOWS\mslagent\uninstall.exe

C:\WINDOWS\mssecu.exe

C:\WINDOWS\system32\akttzn.exe

C:\WINDOWS\system32\anticipator.dll

C:\WINDOWS\system32\awtoolb.dll

C:\WINDOWS\system32\bdn.com

C:\WINDOWS\system32\bsva-egihsg52.exe

C:\WINDOWS\system32\dpcproxy.exe

C:\WINDOWS\system32\emesx.dll

C:\WINDOWS\system32\h@tkeysh@@k.dll

C:\WINDOWS\system32\hoproxy.dll

C:\WINDOWS\system32\hxiwlgpm.dat

C:\WINDOWS\system32\hxiwlgpm.exe

C:\WINDOWS\system32\medup012.dll

C:\WINDOWS\system32\medup020.dll

C:\WINDOWS\system32\msgp.exe

C:\WINDOWS\system32\msnbho.dll

C:\WINDOWS\system32\mssecu.exe

C:\WINDOWS\system32\msvchost.exe

C:\WINDOWS\system32\mtr2.exe

C:\WINDOWS\system32\mwin32.exe

C:\WINDOWS\system32\netode.exe

C:\WINDOWS\system32\newsd32.exe

C:\WINDOWS\system32\ps1.exe

C:\WINDOWS\system32\psof1.exe

C:\WINDOWS\system32\psoft1.exe

C:\WINDOWS\system32\regc64.dll

C:\WINDOWS\system32\regm64.dll

C:\WINDOWS\system32\Rundl1.exe

C:\WINDOWS\system32\smp

C:\WINDOWS\system32\smp\msrc.exe

C:\WINDOWS\system32\sncntr.exe

C:\WINDOWS\system32\ssurf022.dll

C:\WINDOWS\system32\ssvchost.com

C:\WINDOWS\system32\ssvchost.exe

C:\WINDOWS\system32\sysreq.exe

C:\WINDOWS\system32\taack.dat

C:\WINDOWS\system32\taack.exe

C:\WINDOWS\system32\temp#01.exe

C:\WINDOWS\system32\thun.dll

C:\WINDOWS\system32\thun32.dll

C:\WINDOWS\system32\VBIEWER.OCX

C:\WINDOWS\system32\vbsys2.dll

C:\WINDOWS\system32\vcatchpi.dll

C:\WINDOWS\system32\winlogonpc.exe

C:\WINDOWS\system32\winsystem.exe

C:\WINDOWS\system32\WINWGPX.EXE

C:\WINDOWS\userconfig9x.dll

C:\WINDOWS\winsystem.exe

C:\WINDOWS\zip1.tmp

C:\WINDOWS\zip2.tmp

C:\WINDOWS\zip3.tmp

C:\WINDOWS\zipped.tmp
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-06-13 bis 2008-07-13  ))))))))))))))))))))))))))))))

.
 

2008-07-14 00:17 . 2008-07-14 00:17        <DIR>        d--------        C:\Programme\CCleaner

2008-07-13 13:09 . 2008-07-13 13:34        250        --a------        C:\WINDOWS\gmer.ini

2008-07-13 13:08 . 2008-07-13 13:08        <DIR>        d--------        C:\Deckard

2008-07-13 13:07 . 2008-07-13 13:07        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-07-13 13:07 . 2008-07-13 13:07        <DIR>        d--------        C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\Malwarebytes

2008-07-13 13:07 . 2008-07-13 13:07        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-07-13 13:07 . 2008-07-07 17:35        34,296        --a------        C:\WINDOWS\system32\drivers\mbamcatchme.sys

2008-07-13 13:07 . 2008-07-07 17:35        17,144        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-07-13 12:57 . 2008-07-13 12:57        <DIR>        d--------        C:\Programme\Trend Micro

2008-07-13 12:48 . 2008-07-13 12:48        <DIR>        d--------        C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\PC-Antispy

2008-07-13 12:48 . 2008-07-13 12:48        25,600        --a------        C:\WINDOWS\system32\drivers\pcantispy.sys

2008-07-13 12:48 . 2008-07-13 13:39        0        --ah-----        C:\WINDOWS\.security

2008-07-13 12:48 . 2008-07-13 13:39        0        --ah-----        C:\.security

2008-07-13 12:47 . 2008-07-13 12:48        <DIR>        d--------        C:\Programme\PC-Antispy

2008-07-13 00:45 . 2008-07-13 00:45        <DIR>        d--------        C:\Programme\jytskfc

2008-07-13 00:45 . 2008-07-13 00:45        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bmlgnerc

2008-07-13 00:45 . 2008-07-13 00:45        114,688        --a------        C:\WINDOWS\system32\pozetkvq.exe

2008-07-04 18:58 . 2008-07-04 18:59        <DIR>        d--------        C:\Programme\Google

2008-07-04 18:58 . 2008-07-13 16:55        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater

2008-07-04 11:14 . 2008-07-04 11:14        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\DirectX

2008-07-04 11:14 . 2008-07-04 11:14        98,304        --a------        C:\WINDOWS\system32\CmdLineExt.dll

2008-07-02 00:01 . 2008-07-02 00:02        <DIR>        d--------        C:\Programme\ICQLite

2008-07-01 23:58 . 2008-07-01 23:59        <DIR>        d--------        C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\ICQ

2008-07-01 00:37 . 2008-07-01 00:38        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Adobe

2008-06-25 16:18 . 2008-06-25 16:18        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\IviSDK

2008-06-25 16:17 . 2008-06-25 16:17        <DIR>        d--------        C:\Programme\vtplus

2008-06-25 16:16 . 2008-07-13 19:01        <DIR>        d--------        C:\Programme\WinTV

2008-06-25 16:16 . 2007-08-28 10:45        761,929        --a------        C:\WINDOWS\system32\hcwtvwnd.dll

2008-06-25 16:15 . 2007-01-23 20:36        299,776        -ra------        C:\WINDOWS\system32\drivers\hcw88tse.sys

2008-06-25 16:14 . 2007-01-23 20:36        498,176        -ra------        C:\WINDOWS\system32\drivers\hcw88vid.sys

2008-06-25 16:01 . 2008-06-25 16:01        13,132        --ah-----        C:\WINDOWS\system32\mlfcache.dat

2008-06-25 11:02 . 2008-06-25 11:02        <DIR>        d--------        C:\Programme\K-Lite Codec Pack

2008-06-24 23:00 . 2008-04-14 07:52        219,136        --a--c---        C:\WINDOWS\system32\dllcache\uxtheme.dll

2008-06-24 22:49 . 2008-06-24 22:49        <DIR>        d--------        C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\vlc

2008-06-24 22:40 . 2008-06-24 22:40        <DIR>        d--------        C:\Temp

2008-06-24 16:00 . 2008-07-13 18:11        <DIR>        d--------        C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\NoNameScript

2008-06-24 15:58 . 2008-06-24 16:00        <DIR>        d--------        C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\mIRC

2008-06-24 15:54 . 2008-06-24 15:54        <DIR>        d--------        C:\Program Files

2008-06-24 15:54 . 2008-06-24 15:56        <DIR>        d--------        C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\ICQLite

2008-06-24 15:16 . 2008-07-09 21:42        959        --a------        C:\rollback.ini

2008-06-24 12:25 . 2008-07-14 00:24        7,578,400        --ahs----        C:\WINDOWS\system32\drivers\fidbox.dat

2008-06-24 12:25 . 2008-07-13 05:25        116,216        --ahs----        C:\WINDOWS\system32\drivers\fidbox.idx

2008-06-24 12:22 . 2008-07-12 10:56        4,212        ---h-----        C:\WINDOWS\system32\zllictbl.dat

2008-06-24 12:21 . 2008-06-24 12:21        <DIR>        d--------        C:\Programme\Zone Labs

2008-06-24 12:20 . 2008-07-14 00:19        <DIR>        d--------        C:\WINDOWS\Internet Logs

2008-06-24 12:16 . 2008-06-24 12:18        <DIR>        d--------        C:\Programme\Spybot - Search & Destroy

2008-06-24 12:16 . 2008-07-14 00:19        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-06-23 22:00 . 2008-06-23 22:00        0        --a------        C:\WINDOWS\nsreg.dat

2008-06-23 21:58 . 2008-06-23 21:58        <DIR>        d--------        C:\Programme\Windows Media Connect 2

2008-06-23 21:57 . 2008-06-23 21:57        <DIR>        d--------        C:\WINDOWS\system32\LogFiles

2008-06-23 21:57 . 2008-06-23 21:58        <DIR>        d--------        C:\WINDOWS\system32\drivers\UMDF

2008-06-23 21:56 . 2008-06-23 21:56        <DIR>        d--------        C:\Programme\VideoLAN

2008-06-23 21:26 . 2008-06-23 21:26        <DIR>        d--------        C:\Programme\Avira

2008-06-23 21:26 . 2008-06-23 21:26        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

2008-06-23 19:47 . 2008-06-23 19:47        664        --a------        C:\WINDOWS\system32\d3d9caps.dat

2008-06-23 19:35 . 2008-06-23 19:35        <DIR>        d--------        C:\Programme\Realtek Sound Manager

2008-06-23 19:35 . 2008-06-23 19:35        <DIR>        d--------        C:\Programme\Realtek AC97

2008-06-23 19:35 . 2008-06-23 19:35        <DIR>        d--------        C:\Programme\AvRack

2008-06-23 19:34 . 2008-07-02 00:00        <DIR>        d--h-----        C:\Programme\InstallShield Installation Information

2008-06-23 19:34 . 2006-02-23 05:39        11,264        -ra------        C:\WINDOWS\system32\drivers\xfilt.sys

2008-06-23 19:34 . 2006-02-23 05:38        9,728        -ra------        C:\WINDOWS\system32\drivers\videX32.sys

2008-06-23 19:33 . 2008-06-23 19:33        <DIR>        d--------        C:\Programme\VIA

2008-06-23 19:33 . 2008-06-23 20:43        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\InstallShield

2008-06-23 19:33 . 2005-03-09 08:53        36,352        -ra------        C:\WINDOWS\system32\drivers\AmdK8.sys

2008-06-23 19:32 . 2008-04-14 07:52        21,504        --a------        C:\WINDOWS\system32\hidserv.dll

2008-06-23 19:32 . 2001-08-17 14:59        3,072        --a------        C:\WINDOWS\system32\drivers\audstub.sys

2008-06-23 19:31 . 2008-04-14 07:22        57,728        --a------        C:\WINDOWS\system32\drivers\redbook.sys

2008-06-23 19:30 . 2008-04-14 07:52        77,312        --a------        C:\WINDOWS\system32\usbui.dll

2008-06-23 19:30 . 2008-04-14 00:06        46,464        --a------        C:\WINDOWS\system32\drivers\gagp30kx.sys

2008-06-23 19:29 . 2008-06-23 18:50        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Default User\Vorlagen

2008-06-23 19:29 . 2008-06-23 19:29        <DIR>        dr-------        C:\Dokumente und Einstellungen\Default User\Startmenü

2008-06-23 19:29 . 2008-06-23 19:29        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung

2008-06-23 19:29 . 2008-06-23 19:29        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen

2008-06-23 19:29 . 2008-06-23 19:29        <DIR>        d--------        C:\Dokumente und Einstellungen\Default User\Favoriten

2008-06-23 19:29 . 2008-06-23 19:29        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Default User\Druckumgebung

2008-06-23 19:29 . 2008-06-23 19:29        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\Default User\Anwendungsdaten

2008-06-23 19:29 . 2008-06-23 19:29        <DIR>        d--h-----        C:\Dokumente und Einstellungen\All Users\Vorlagen

2008-06-23 19:29 . 2008-07-02 00:01        <DIR>        dr-------        C:\Dokumente und Einstellungen\All Users\Startmenü

2008-06-23 19:29 . 2008-06-23 19:29        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Favoriten

2008-06-23 19:29 . 2008-06-24 16:01        <DIR>        dr-------        C:\Dokumente und Einstellungen\All Users\Dokumente

2008-06-23 19:29 . 2008-07-13 13:07        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

2008-06-23 19:28 . 2008-06-23 20:42        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Default User

2008-06-23 19:28 . 2008-06-23 18:53        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users

2008-06-23 19:28 . 2008-06-23 19:08        <DIR>        d--------        C:\Dokumente und Einstellungen

2008-06-23 19:08 . 2008-06-23 18:50        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Mr_Fire\Vorlagen

2008-06-23 19:08 . 2008-06-23 19:29        <DIR>        dr-------        C:\Dokumente und Einstellungen\Mr_Fire\Startmenü

2008-06-23 19:08 . 2008-06-23 19:29        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Mr_Fire\Netzwerkumgebung

2008-06-23 19:08 . 2008-07-14 00:24        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Mr_Fire\Lokale Einstellungen

2008-06-23 19:08 . 2008-06-23 21:50        <DIR>        dr-------        C:\Dokumente und Einstellungen\Mr_Fire\Favoriten

2008-06-23 19:08 . 2008-07-14 00:21        <DIR>        dr-------        C:\Dokumente und Einstellungen\Mr_Fire\Eigene Dateien

2008-06-23 19:08 . 2008-06-23 19:29        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Mr_Fire\Druckumgebung

2008-06-23 19:08 . 2008-07-13 13:07        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten

2008-06-23 19:08 . 2008-07-14 00:23        <DIR>        d--------        C:\Dokumente und Einstellungen\Mr_Fire

2008-06-23 19:07 . 2008-06-23 19:07        <DIR>        d---s----        C:\WINDOWS\system32\Microsoft

2008-06-23 19:07 . 2008-07-14 00:24        <DIR>        d--h-----        C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen

2008-06-23 19:07 . 2008-06-23 19:07        <DIR>        d--------        C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten

2008-06-23 19:07 . 2008-06-23 19:07        <DIR>        d--hs----        C:\Dokumente und Einstellungen\LocalService
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-13 11:37        1,878,528        ----a-w        C:\WINDOWS\Internet Logs\xDB3.tmp

2008-07-13 11:37        1,620,992        ----a-w        C:\WINDOWS\Internet Logs\xDB2.tmp

2008-06-24 21:08        174,080        ----a-w        C:\WINDOWS\Internet Logs\xDB1.tmp

2008-06-23 18:56        ---------        d-----w        C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\ATI

2008-06-23 18:56        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI

2008-06-23 18:45        ---------        d-----w        C:\Programme\ATI Technologies

2008-06-23 16:53        ---------        d-----w        C:\Programme\microsoft frontpage

2008-06-23 16:52        ---------        d-----w        C:\Programme\Online-Dienste

2008-06-23 16:51        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Dienste

2008-06-03 06:20        3,100,160        ----a-w        C:\WINDOWS\system32\drivers\ati2mtag.sys

2008-06-03 03:46        10,276,864        ----a-w        C:\WINDOWS\system32\atioglx2.dll

2008-06-03 03:22        413,696        ----a-w        C:\WINDOWS\system32\ATIDEMGX.dll

2008-06-03 03:21        306,688        ----a-w        C:\WINDOWS\system32\ati2dvag.dll

2008-06-03 03:11        43,520        ----a-w        C:\WINDOWS\system32\ati2edxx.dll

2008-06-03 03:11        26,112        ----a-w        C:\WINDOWS\system32\Ati2mdxx.exe

2008-06-03 03:11        180,224        ----a-w        C:\WINDOWS\system32\atipdlxx.dll

2008-06-03 03:11        139,264        ----a-w        C:\WINDOWS\system32\Oemdspif.dll

2008-06-03 03:11        139,264        ----a-w        C:\WINDOWS\system32\ati2evxx.dll

2008-06-03 03:09        552,960        ----a-w        C:\WINDOWS\system32\ati2evxx.exe

2008-06-03 03:08        53,248        ----a-w        C:\WINDOWS\system32\ATIDDC.DLL

2008-06-03 03:04        245,760        ----a-w        C:\WINDOWS\system32\atiok3x2.dll

2008-06-03 03:02        307,200        ----a-w        C:\WINDOWS\system32\atiiiexx.dll

2008-06-03 02:59        3,500,352        ----a-w        C:\WINDOWS\system32\ati3duag.dll

2008-06-03 02:48        2,120,832        ----a-w        C:\WINDOWS\system32\ativvaxx.dll

2008-06-03 02:33        48,128        ----a-w        C:\WINDOWS\system32\amdpcom32.dll

2008-06-03 02:29        348,160        ----a-w        C:\WINDOWS\system32\atikvmag.dll

2008-06-03 02:28        23,040        ----a-w        C:\WINDOWS\system32\atiadlxx.dll

2008-06-03 02:28        17,408        ----a-w        C:\WINDOWS\system32\atitvo32.dll

2008-06-03 02:27        49,152        ----a-w        C:\WINDOWS\system32\drivers\ati2erec.dll

2008-06-03 02:22        5,439,488        ----a-w        C:\WINDOWS\system32\atioglxx.dll

2008-06-03 02:21        557,056        ----a-w        C:\WINDOWS\system32\ati2cqag.dll

2008-06-02 19:05        593,920        ------w        C:\WINDOWS\system32\ati2sgag.exe

2008-04-14 06:06        1,804        ----a-w        C:\WINDOWS\system32\dcache.bin

2008-04-14 05:55        333,312        ----a-w        C:\WINDOWS\system32\netsetup.exe

2008-04-14 05:52        99,840        ----a-w        C:\WINDOWS\system32\loadperf.dll

2008-04-14 05:51        762,368        ----a-w        C:\WINDOWS\system32\winntbbu.dll

2008-04-14 05:51        731,648        ----a-w        C:\WINDOWS\system32\ntdll.dll

2008-04-14 05:51        57,375        ----a-w        C:\WINDOWS\system32\odbcji32.dll

2008-04-14 05:51        5,632        ----a-w        C:\WINDOWS\system32\wmi.dll

2008-04-14 05:51        4,126        ----a-w        C:\WINDOWS\system32\msdxmlc.dll

2008-04-14 05:30        2,026,496        ----a-w        C:\WINDOWS\system32\ntkrnlpa.exe

2008-04-14 05:29        4,096        ----a-w        C:\WINDOWS\system32\dsprpres.dll

2008-04-14 05:29        2,147,840        ----a-w        C:\WINDOWS\system32\ntoskrnl.exe

2008-04-14 05:27        93,184        ------w        C:\WINDOWS\system32\msxml6r.dll

2008-04-14 05:26        81,408        ------w        C:\WINDOWS\system32\msshavmsg.dll

2008-04-14 05:26        51,712        ----a-w        C:\WINDOWS\system32\inetres.dll

2008-04-14 05:25        572,928        ----a-w        C:\WINDOWS\system32\shdoclc.dll

2008-04-14 05:24        10,752        ----a-w        C:\WINDOWS\system32\gpkrsrc.dll

2008-04-14 05:23        1,845,760        ----a-w        C:\WINDOWS\system32\win32k.sys

2008-04-14 05:22        68,096        ----a-w        C:\WINDOWS\system32\browselc.dll

2008-04-14 05:22        57,344        ----a-w        C:\WINDOWS\system32\mshtmler.dll

2008-04-14 05:20        103,424        ----a-w        C:\WINDOWS\system32\dpcdll.dll

2008-04-13 22:15        17,664        ----a-w        C:\WINDOWS\system32\watchdog.sys

2008-04-13 22:10        438,784        ----a-w        C:\WINDOWS\system32\xpob2res.dll

2008-04-13 22:06        2,981,888        ----a-w        C:\WINDOWS\system32\xpsp2res.dll

2008-04-13 22:05        24,064        ----a-w        C:\WINDOWS\system32\pidgen.dll

2008-04-13 22:05        199,680        ----a-w        C:\WINDOWS\system32\xpsp1res.dll

2008-04-13 22:01        7,424        ----a-w        C:\WINDOWS\system32\kd1394.dll

2008-04-13 22:00        61,440        ----a-w        C:\WINDOWS\system32\msvcrt40.dll

2008-04-13 21:07        208,384        ----a-w        C:\WINDOWS\system32\rsaenh.dll

2008-04-13 21:07        138,752        ----a-w        C:\WINDOWS\system32\dssenh.dll

2008-04-13 20:56        12,288        ----a-w        C:\WINDOWS\system32\odbcp32r.dll

2008-04-13 20:56        12,288        ----a-w        C:\WINDOWS\system32\mscpx32r.dll

2008-04-13 20:51        733,696        ----a-w        C:\WINDOWS\system32\qedwipes.dll

2008-04-13 20:18        1,647,616        ----a-w        C:\WINDOWS\system32\winbrand.dll

2008-04-13 20:15        216,064        ----a-w        C:\WINDOWS\system32\moricons.dll

2008-04-13 19:53        48,128        ----a-w        C:\WINDOWS\system32\msprivs.dll

2008-04-13 19:09        884,736        ----a-w        C:\WINDOWS\system32\msimsg.dll

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{60B244BE-559D-4269-B96E-CD264D828EC9}]

??? [?]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]

"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

"qswmdklt"="C:\WINDOWS\system32\pozetkvq.exe" [2008-07-13 00:45 114688]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]

"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 21:07 919016]

"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]

"PC-Antispy"="C:\Programme\PC-Antispy\PC-Antispy.exe" [2008-07-13 12:48 11083776]

"SoundMan"="SOUNDMAN.EXE" [2006-08-02 23:12 577536 C:\WINDOWS\soundman.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]

"Y1EwQLFS20"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bmlgnerc\jgholqnw.exe" [2008-07-13 00:45 61440]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

.security [2008-07-13 13:39:07 0]

AutoStart IR.lnk - C:\Programme\WinTV\Ir.exe [2008-06-25 16:17:46 110647]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"SysEnUi"= {1D384819-A8C8-15B0-C33C-0914C0C07514} - C:\Programme\jytskfc\SysEnUi.dll [2008-07-13 00:45 118784]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.YV12"= yv12vfw.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programme\\ICQLite\\ICQLite.exe"=

"D:\\Programme\\mIRC\\mirc.exe"=
 

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38]

R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39]

R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;C:\WINDOWS\system32\drivers\hcw88aud.sys [2007-01-23 20:25]

R1 pcantispy;pcantispy;C:\WINDOWS\system32\drivers\pcantispy.sys [2008-07-13 12:48]

R3 hcw88bda;Hauppauge WinTV 88x DVB Tuner/Demod;C:\WINDOWS\system32\drivers\hcw88bda.sys [2007-01-23 20:25]

R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;C:\WINDOWS\system32\Drivers\hcw88rc5.sys [2007-01-23 20:26]

R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;C:\WINDOWS\system32\drivers\hcw88tse.sys [2007-01-23 20:36]

R3 hcw88vid;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2007-01-23 20:36]

R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys [2007-01-23 21:36]
 

*Newly Created Service* - CATCHME

.

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-14 00:24:45

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-07-14  0:25:11

ComboFix-quarantined-files.txt  2008-07-13 22:25:08
 

              10 Verzeichnis(se), 16,621,039,616 Bytes frei

              12 Verzeichnis(se), 16,610,758,656 Bytes frei
 

312        --- E O F ---        2008-07-13 11:06:14

Da muß noch mehr weg. Allerdings ist Dein System doch ziemlich stark belastet, so daß man nicht versprechen kann, daß alles wieder wie gewohnt funktioniert. Überhaupt gibt es keine Garantie nach einer Bereinigung, wenn Du also auf Nummer sicher gehen willst, bleibt Dir nur das Formatieren und die anschließende Neuinstallation von Windows.

Fangen wir aber mal mit dem Avenger an:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

files to delete:

C:\WINDOWS\system32\pozetkvq.exe

C:\WINDOWS\system32\mlfcache.dat

C:\WINDOWS\Internet Logs\xDB3.tmp

C:\WINDOWS\Internet Logs\xDB2.tmp

C:\WINDOWS\Internet Logs\xDB1.tmp
 

folders to delete:

C:\Programme\jytskfc

C:\Programme\Gemeinsame Dateien\IviSDK

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bmlgnerc
 

registry keys to delete:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{60B244BE-559D-4269-B96E-CD264D828EC9}
 

registry values to delete:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | Adobe Reader Speed Launcher

HKLM\software\microsoft\windows\Currentversion\policies\explorer\Run | Y1EwQLFS20

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | SysEnUi

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | qswmdklt

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Mach danach Logfiles mit

+ Silentrunners
+ Malwarebytes (Voller Scan!!)

und poste diese mit Codetags umschlossen. Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing8.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

So hier die Ergebnise der ausgeführten Programme :)

Hier der Log vom Listing

Avenger

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File "C:\WINDOWS\system32\pozetkvq.exe" deleted successfully.

File "C:\WINDOWS\system32\mlfcache.dat" deleted successfully.

File "C:\WINDOWS\Internet Logs\xDB3.tmp" deleted successfully.

File "C:\WINDOWS\Internet Logs\xDB2.tmp" deleted successfully.

File "C:\WINDOWS\Internet Logs\xDB1.tmp" deleted successfully.

Folder "C:\Programme\jytskfc" deleted successfully.

Folder "C:\Programme\Gemeinsame Dateien\IviSDK" deleted successfully.

Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bmlgnerc" deleted successfully.

Registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{60B244BE-559D-4269-B96E-CD264D828EC9}" deleted successfully.

Registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Adobe Reader Speed Launcher" deleted successfully.

Registry value "HKLM\software\microsoft\windows\Currentversion\policies\explorer\Run|Y1EwQLFS20" deleted successfully.

Registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|SysEnUi" deleted successfully.
 

Error:  could not delete registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|qswmdklt"

Deletion of registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|qswmdklt" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Silent Runner

Code:

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

"qswmdklt" = "C:\WINDOWS\system32\pozetkvq.exe" [file not found]

"ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" [file not found]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]

"StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun" ["Advanced Micro Devices, Inc."]

"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]

"ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."]

"PC-Antispy" = ""C:\Programme\PC-Antispy\PC-Antispy.exe" hide" [null data]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"

                   \InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

{60B244BE-559D-4269-B96E-CD264D828EC9}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "PC-Antispy Site Blocker Button"

                   \InProcServer32\(Default) = "****" (unwritable string) [file not found]

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Google Toolbar Notifier BHO"

                   \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll" ["Google Inc."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"

  -> {HKLM...CLSID} = "SimpleShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [null data]

"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"

  -> {HKLM...CLSID} = "ZLAVShExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"

  -> {HKLM...CLSID} = "MCLiteShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

  -> {HKLM...CLSID} = "WPDShServiceObj Class"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
 

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"

  -> {HKLM...CLSID} = "MCLiteShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"

  -> {HKLM...CLSID} = "ZLAVShExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
 

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"

  -> {HKLM...CLSID} = "MCLiteShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes"]

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"

  -> {HKLM...CLSID} = "ZLAVShExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
 

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes"]
 
 

Default executables:

--------------------
 

<<!>> HKLM\SOFTWARE\Classes\.com\(Default) = "ComFile"
 
 

Group Policies {policy setting}:

--------------------------------
 

Note: detected settings may not have any effect.
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
 

"NoDrives" = (REG_DWORD) dword:0x00000000

{unrecognized setting}
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
 

"NoDrives" = (REG_DWORD) dword:0x00000000

{unrecognized setting}
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
 

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000

{unrecognized setting}
 

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000

{unrecognized setting}
 

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001

{unrecognized setting}
 

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000

{unrecognized setting}
 

"HideStartupScripts" = (REG_DWORD) dword:0x00000000

{unrecognized setting}
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
 

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Shutdown: Allow system to be shut down without having to log on}
 

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Devices: Allow undock without having to log on}
 

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000

{unrecognized setting}
 

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000

{unrecognized setting}
 

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000

{unrecognized setting}
 

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001

{unrecognized setting}
 

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000

{unrecognized setting}
 

"HideStartupScripts" = (REG_DWORD) dword:0x00000000

{unrecognized setting}
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Dokumente und Einstellungen\Mr_Fire\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 
 

Windows Portable Device AutoPlay Handlers

-----------------------------------------
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\
 

MPCPlayCDAudioOnArrival\

"Provider" = "Media Player Classic"

"InvokeProgID" = "MediaPlayerClassic.Autorun"

"InvokeVerb" = "PlayCDAudio"

HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayCDAudio\command\(Default) = ""C:\Programme\K-Lite Codec Pack\Media Player Classic\mplayerc.exe" %1 /cd" ["Gabest"]
 

MPCPlayDVDMovieOnArrival\

"Provider" = "Media Player Classic"

"InvokeProgID" = "MediaPlayerClassic.Autorun"

"InvokeVerb" = "PlayDVDMovie"

HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayDVDMovie\command\(Default) = ""C:\Programme\K-Lite Codec Pack\Media Player Classic\mplayerc.exe" %1 /dvd" ["Gabest"]
 

MPCPlayMusicFilesOnArrival\

"Provider" = "Media Player Classic"

"InvokeProgID" = "MediaPlayerClassic.Autorun"

"InvokeVerb" = "PlayMusicFiles"

HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayMusicFiles\command\(Default) = ""C:\Programme\K-Lite Codec Pack\Media Player Classic\mplayerc.exe" %1" ["Gabest"]
 

MPCPlayVideoFilesOnArrival\

"Provider" = "Media Player Classic"

"InvokeProgID" = "MediaPlayerClassic.Autorun"

"InvokeVerb" = "PlayVideoFiles"

HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayVideoFiles\command\(Default) = ""C:\Programme\K-Lite Codec Pack\Media Player Classic\mplayerc.exe" %1" ["Gabest"]
 

MSWPDShellNamespaceHandler\

"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"

"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"

"InitCmdLine" = " "

  -> {HKLM...CLSID} = "WPDShextAutoplay"

                   \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]
 

VLCPlayCDAudioOnArrival\

"Provider" = "VideoLAN VLC media player"

"InvokeProgID" = "VLC.CDAudio"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"]
 

VLCPlayDVDMovieOnArrival\

"Provider" = "VideoLAN VLC media player"

"InvokeProgID" = "VLC.DVDMovie"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"]
 
 

Startup items in "Mr_Fire" & "All Users" startup folders:

---------------------------------------------------------
 

C:\Dokumente und Einstellungen\Mr_Fire\Start Menu\Programs\Startup

<<!>> ".security" [null data]
 

WARNING! "All Users" startup folder not found!
 
 

Winsock2 Service Provider DLLs:

-------------------------------
 

Namespace Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 

Transport Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
 
 

Toolbars, Explorer Bars, Extensions:

------------------------------------
 

Extensions (Tools menu items, main toolbar menu buttons)
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\

"ButtonText" = "ICQ Lite"

"MenuText" = "ICQ Lite"

"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]
 

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\

"MenuText" = "Spybot - Search && Destroy Configuration"

"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"

  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"

                   \InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
 

{E2E2DD38-D088-4134-82B7-F2BA38496583}\

"MenuText" = "@xpsp3res.dll,-20001"

"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]
 

{E59EB121-F339-4851-A3BA-FE49C35617C2}\

"ButtonText" = "ICQ6"

"MenuText" = "ICQ6"

"Exec" = "C:\Programme\ICQ6\ICQ.exe" [file not found]
 

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
 
 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------
 

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]

Avira AntiVir Personal – Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]

Avira AntiVir Personal – Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]

Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]

TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
 
 

---------- (launch time: 2008-07-15 00:16:50)

<<!>>: Suspicious data at a malware launch point.
 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

  DLL launch points, use the -supp parameter or answer "No" at the

  first message box and "Yes" at the second message box.

---------- (total run time: 25 seconds, including 1 second for message boxes)

Code:

Malwarebytes' Anti-Malware 1.20

Datenbank Version: 944

Windows 5.1.2600 Service Pack 3
 

00:34:04 15.07.2008

mbam-log-7-15-2008 (00-33-56).txt
 

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|)

Objekte gescannt: 65636

Scan Dauer: 15 minute(s), 43 second(s)
 

Infizierte Speicher Prozesse: 1

Infizierte Speicher Module: 1

Infizierte Registrierungsschlüssel: 18

Infizierte Registrierungswerte: 2

Infizierte Datei Objekte der Registrierung: 0

Infizierte Verzeichnisse: 4

Infizierte Dateien: 13
 

Infizierte Speicher Prozesse:

C:\Programme\PC-Antispy\PC-Antispy.exe (Rogue.PCAntispy) -> No action taken.
 

Infizierte Speicher Module:

C:\Programme\PC-Antispy\ASpyPopUpBlk.dll (Rogue.PCAntispy) -> No action taken.
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\CLSID\{60b244be-559d-4269-b96e-cd264d828ec9} (Rogue.PCAntispy) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{60b244be-559d-4269-b96e-cd264d828ec9} (Rogue.PCAntispy) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcantispy (Rogue.PCAntispy) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pcantispy (Rogue.PCAntispy) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcantispy (Rogue.PCAntispy) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pc-antispy (Rogue.PCAntispy) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\PC-Antispy (Rogue.PCAntispy) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\PC-Antispy (Rogue.PCAntispy) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\uninstall (Fake.Dropped.Malware) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\mwc (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> No action taken.
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pc-antispy (Rogue.PCAntispy) -> No action taken.
 

Infizierte Datei Objekte der Registrierung:

(Keine Malware Objekte gefunden)
 

Infizierte Verzeichnisse:

C:\Programme\PC-Antispy (Rogue.PCAntispy) -> No action taken.

C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\PC-Antispy (Rogue.PCAntispy) -> No action taken.

C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\PC-Antispy\logs (Rogue.PCAntispy) -> No action taken.

C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\PC-Antispy\startup (Rogue.PCAntispy) -> No action taken.
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\Mr_Fire\Desktop\PCAntispy_Installer_eng.exe (Rogue.Installer) -> No action taken.

C:\WINDOWS\system32\drivers\pcantispy.sys (Rogue.PCAntispy) -> No action taken.

C:\Programme\PC-Antispy\ASpyPopUpBlk.dll (Rogue.PCAntispy) -> No action taken.

C:\Programme\PC-Antispy\ASpyStBlk.dll (Rogue.PCAntispy) -> No action taken.

C:\Programme\PC-Antispy\download.tmp (Rogue.PCAntispy) -> No action taken.

C:\Programme\PC-Antispy\PC-Antispy.db (Rogue.PCAntispy) -> No action taken.

C:\Programme\PC-Antispy\PC-Antispy.exe (Rogue.PCAntispy) -> No action taken.

C:\Programme\PC-Antispy\pcantispy.pkg (Rogue.PCAntispy) -> No action taken.

C:\Programme\PC-Antispy\program.info (Rogue.PCAntispy) -> No action taken.

C:\Programme\PC-Antispy\Uninstall.exe (Rogue.PCAntispy) -> No action taken.

C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\PC-Antispy\config.xml (Rogue.PCAntispy) -> No action taken.

C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\PC-Antispy\Sites.bl (Rogue.PCAntispy) -> No action taken.

C:\Dokumente und Einstellungen\Mr_Fire\Anwendungsdaten\PC-Antispy\logs\1215946127.log (Rogue.PCAntispy) -> No action taken.

Zum Auswerten komm ich erst später. Der Taskmanager scheint wieder zu funktionieren. Wie siehts mit dem Deaktivieren der PFW aus? Hält das immer noch an?

Seit dem letzten Post funktioniert das bis jetzt einwandfrei. Also habe ich bis jetzt keine Fehlermeldung bekommen.
Lass dir mit dem Auswerten ruhig Zeit :D brauch den Rechner ja nicht dringlich ;)

Malwarebytes Anti-Malware hat ja noch einige Sachen gefunden. Hast Du nicht gesagt, er soll die Sachen gleich löschen, oder klappte das nicht?