Trojaner-Board - Internet stürzt ab, Task-Manager blockiert

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Internet stürzt ab, Task-Manager blockiert - Wurm? (https://www.trojaner-board.de/77609-internet-stuerzt-ab-task-manager-blockiert-wurm.html)

Internet stürzt ab, Task-Manager blockiert - Wurm?

Hallo zusammen,und zwar habe ich folgendes Problem :

Seit 2Tagen bricht die Internetverbindung plötzlich ab, den Task-Manager kann ich auch nicht mehr starten weil folgende Meldung erscheint :
Der Task-Manager wurde durch den Adminstrator deaktiviert.
Als es das erste mal passiert ist kam eine Meldung dass meine Firewall deaktiviert wurde (oO).
Ich hoffe man kann mir helfen ,wenn noch was is : fragen.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:27:21, on 18.09.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\vsnpstd.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Yahoo!\Search Protection\SearchProtection.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\audit.exe

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe

C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe

C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe

E:\Programme\opera.exe

C:\DOKUME~1\xxx\LOKALE~1\Temp\winwwos.exe

C:\DOKUME~1\xxx\LOKALE~1\Temp\rfumj.exe

C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxxp://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*hxxxp://de.search.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxxp://de.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxxp://de.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*hxxxp://de.search.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxxp://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*hxxxp://de.search.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxxp://de.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*hxxxp://de.search.yahoo.com

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - E:\Programme\rpbrowserrecordplugin.dll

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [YSearchProtection] "C:\Programme\Yahoo!\Search Protection\SearchProtection.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [Search Protection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe

O4 - HKCU\..\Run: [explorer] C:\WINDOWS\system32\audit.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{934FA3AC-0E29-4055-AEAF-EBFAF9CB360B}: NameServer = 217.0.43.33 217.0.43.17

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
 

--

End of file - 6766 bytes

Hallo,

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\WINDOWS\system32\audit.exe

C:\DOKUME~1\xxx\LOKALE~1\Temp\winwwos.exe

C:\DOKUME~1\xxx\LOKALE~1\Temp\rfumj.exe

Bitte danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hey,erstmal danke für die Hilfe

Die Dateien die rauskamen
File-Upload.net - Data.rar

Virustotal klapt bei mir nicht aber habnun ein andres problem:

Die erste Datei die ich scannen sollte gibts bei mir nicht, die andren beiden finde ich nicht , schon "C:\DOKUME~1" gibts nicht,was soll dieses DOKUME~1 sein ?

C:\DOKUME~1 ist die alte DOS-Schreibweise für Datei- und Ordnernamen mit mehr als acht Zeichen. C:\DOKUME~1 ist nichts weiter als C:\Dokumente und Einstellungen

Bitte ComboFix ausführen, genau an folgende Instruktionen halten!!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Die Dateien finde ich immernoch nicht,obwohl ich in dem Ordner suche und alle Dateien angezeigt werden (Einstellung Ordneroptionen).

Ich starte gleich mal "smss.exe" und melde mich wenns fertig ist

Code:

ComboFix 09-09-18.02 - xxx 19.09.2009 14:12.1.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.737 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe

AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\recycler\S-1-5-21-515967899-261903793-725345543-1004

c:\recycler\S-1-5-21-515967899-261903793-725345543-1005

c:\windows\system32\Icon_SmartFTP.exe.exe

c:\windows\system32\Plugins

c:\windows\system32\Plugins\Mime.ini

c:\windows\system32\Plugins\MozillaEdit.exe

c:\windows\system32\Plugins\NPLeechGet.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-08-19 bis 2009-09-19  ))))))))))))))))))))))))))))))

.
 

2009-09-19 07:20 . 2009-09-19 07:20        --------        d-----w-        C:\rsit

2009-09-19 07:19 . 2009-09-19 07:19        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes

2009-09-19 07:19 . 2009-09-10 12:54        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-19 07:19 . 2009-09-19 07:19        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes

2009-09-19 07:19 . 2009-09-10 12:53        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-09-18 15:08 . 2009-09-18 15:08        --------        d-----w-        c:\programme\Empire Interactive

2009-09-18 13:58 . 2008-12-11 06:38        159600        ----a-w-        c:\windows\system32\drivers\pctgntdi.sys

2009-09-18 13:58 . 2009-08-24 12:05        206256        ----a-w-        c:\windows\system32\drivers\PCTCore.sys

2009-09-18 13:58 . 2009-08-19 09:01        86888        ----a-w-        c:\windows\system32\drivers\PCTAppEvent.sys

2009-09-18 13:58 . 2009-09-18 14:00        --------        d-----w-        c:\programme\Gemeinsame Dateien\PC Tools

2009-09-18 13:58 . 2008-12-10 09:36        64392        ----a-w-        c:\windows\system32\drivers\pctplsg.sys

2009-09-18 13:58 . 2009-09-19 10:07        --------        d-----w-        c:\programme\Spyware Doctor

2009-09-18 13:58 . 2009-09-18 13:58        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\PC Tools

2009-09-18 13:58 . 2009-09-18 13:58        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\PC Tools

2009-09-18 13:58 . 2009-09-19 11:38        --------        d---a-w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP

2009-09-18 10:52 . 2009-09-18 10:52        43520        ----a-w-        c:\windows\system32\CmdLineExt03.dll

2009-09-10 11:08 . 2009-09-10 11:09        --------        d-----w-        c:\dokumente und einstellungen\yyy\Lokale Einstellungen\Anwendungsdaten\Adobe

2009-09-09 11:15 . 2009-09-09 11:15        --------        d-----w-        c:\dokumente und einstellungen\yyy\Lokale Einstellungen\Anwendungsdaten\Google

2009-09-08 16:52 . 2009-09-08 16:52        --------        d-----w-        c:\programme\Java

2009-09-08 16:46 . 2009-09-08 16:52        411368        ----a-w-        c:\windows\system32\deploytk.dll

2009-09-07 06:01 . 2009-09-07 08:24        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\uTorrent

2009-09-05 15:23 . 2009-09-05 15:23        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\SmartFTP

2009-09-05 15:23 . 2009-09-05 16:27        --------        d-----w-        c:\programme\SmartFTP Client

2009-09-05 15:22 . 2009-09-05 16:26        --------        d-----w-        c:\programme\SmartFTP Client 4.0 Setup Files

2009-09-05 14:47 . 2009-09-05 14:58        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\WSG32

2009-09-04 13:56 . 2009-09-04 13:56        --------        d-----w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Adobe

2009-08-30 22:53 . 2009-08-30 22:53        --------        d--h--r-        c:\dokumente und einstellungen\yyy\Anwendungsdaten\yahoo!

2009-08-30 20:25 . 2009-08-30 20:25        --------        d-----w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Yahoo

2009-08-30 20:23 . 2009-08-30 20:23        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Yahoo!

2009-08-30 20:23 . 2009-08-30 20:23        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Yahoo! Companion

2009-08-30 20:22 . 2009-08-30 20:25        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Yahoo!

2009-08-30 20:22 . 2009-08-30 20:23        --------        d-----w-        c:\programme\Yahoo!

2009-08-29 12:54 . 2009-08-29 12:54        --------        d-----w-        C:\Fiaa

2009-08-29 11:52 . 2009-08-29 11:52        25280        ----a-w-        c:\windows\system32\drivers\hamachi.sys

2009-08-29 11:50 . 2009-09-13 16:05        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Hamachi

2009-08-28 13:15 . 2009-08-28 13:15        --------        d-----w-        C:\Mp3 Output

2009-08-28 13:15 . 2009-06-08 13:33        8676883        ----a-w-        c:\windows\system32\mp3Media2.dll

2009-08-26 12:11 . 2007-05-17 15:30        318976        ----a-w-        c:\windows\system32\avisynth.dll

2009-08-26 12:11 . 2004-02-22 08:11        719872        ----a-w-        c:\windows\system32\devil.dll

2009-08-26 12:11 . 2006-04-12 07:47        217073        ----a-w-        c:\windows\meta4.exe

2009-08-26 12:11 . 2006-04-05 06:09        66560        ----a-w-        c:\windows\MOTA113.exe

2009-08-26 12:11 . 2005-07-14 10:31        27648        ----a-w-        c:\windows\system32\AVSredirect.dll

2009-08-26 12:05 . 2009-08-26 12:05        499712        ----a-w-        c:\windows\system32\msvcp71.dll

2009-08-26 12:05 . 2009-08-26 12:05        348160        ----a-w-        c:\windows\system32\msvcr71.dll

2009-08-25 21:41 . 2009-08-25 21:41        --------        d-----w-        c:\programme\aod

2009-08-25 14:02 . 2009-08-25 19:07        --------        d-----w-        c:\programme\Real

2009-08-24 20:04 . 2004-08-03 21:10        17024        -c--a-w-        c:\windows\system32\dllcache\ccdecode.sys

2009-08-24 20:04 . 2004-08-03 21:10        17024        ----a-w-        c:\windows\system32\drivers\CCDECODE.sys

2009-08-24 20:03 . 2002-07-03 09:44        53248        ----a-w-        c:\windows\amcap.exe

2009-08-24 20:03 . 2004-02-16 11:59        61440        ----a-w-        c:\windows\system32\csnpstd.dll

2009-08-22 07:15 . 2009-08-22 07:15        --------        d-----w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google

2009-08-21 22:08 . 2009-08-21 22:11        --------        d-----w-        c:\dokumente und einstellungen\yyy\Anwendungsdaten\Skype
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-15 09:54 . 2008-12-02 16:57        96        ---ha-w-        c:\windows\system32\HsInfo.dat

2009-09-07 14:45 . 2009-08-04 11:24        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft

2009-09-06 13:58 . 2009-08-08 13:25        --------        d-----w-        c:\programme\TuneUp Utilities 2009

2009-09-05 15:10 . 2009-08-05 19:28        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ

2009-08-29 11:02 . 2009-08-07 15:19        --------        d-----w-        c:\dokumente und einstellungen\yyy\Anwendungsdaten\ICQ

2009-08-26 12:05 . 2008-09-26 20:16        --------        d-----w-        c:\programme\Gemeinsame Dateien\Real

2009-08-25 20:50 . 2009-08-06 15:33        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype

2009-08-25 20:50 . 2009-08-06 15:34        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM

2009-08-24 20:03 . 2008-10-19 10:05        --------        d-----w-        c:\programme\Gemeinsame Dateien\snpstd

2009-08-20 06:17 . 2009-08-20 06:17        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org

2009-08-16 12:38 . 2009-08-16 11:19        --------        d-----w-        c:\dokumente und einstellungen\yyy\Anwendungsdaten\AVS4YOU

2009-08-16 12:38 . 2009-08-01 17:23        --------        d-----w-        c:\programme\AVS4YOU

2009-08-16 12:32 . 2009-08-16 12:32        --------        d-----w-        c:\dokumente und einstellungen\yyy\Anwendungsdaten\TuneUp Software

2009-08-16 11:19 . 2009-08-16 11:19        --------        d-----w-        c:\dokumente und einstellungen\yyy\Anwendungsdaten\DivX

2009-08-16 11:19 . 2009-08-16 11:19        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\AVS4YOU

2009-08-14 13:24 . 2009-08-14 13:24        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\DivX

2009-08-14 12:42 . 2009-08-14 12:42        --------        d-----w-        c:\programme\Gemeinsame Dateien\DivX Shared

2009-08-14 04:58 . 2009-09-18 13:58        7396        ----a-w-        c:\windows\system32\drivers\pctcore.cat

2009-08-09 16:47 . 2009-08-05 19:23        13296        ----a-w-        c:\dokumente und einstellungen\yyy\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-08-09 16:12 . 2009-08-05 19:19        13296        ----a-w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-08-08 13:25 . 2009-08-08 13:25        604488        ----a-w-        c:\windows\system32\TUProgSt.exe

2009-08-08 13:25 . 2009-08-08 13:25        361288        ----a-w-        c:\windows\system32\TuneUpDefragService.exe

2009-08-08 13:25 . 2009-08-08 13:25        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\TuneUp Software

2009-08-08 13:25 . 2009-08-08 13:25        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software

2009-08-08 13:24 . 2009-08-08 13:24        --------        d-sh--w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}

2009-08-07 20:30 . 2009-08-07 20:30        --------        d-----w-        c:\dokumente und einstellungen\yyy\Anwendungsdaten\MSNInstaller

2009-08-06 15:33 . 2009-08-06 15:33        --------        d-----r-        c:\programme\Skype

2009-08-06 15:33 . 2009-04-30 20:07        --------        d-----w-        c:\programme\Gemeinsame Dateien\Skype

2009-08-06 15:33 . 2009-08-06 15:33        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype

2009-08-05 21:02 . 2001-08-23 12:00        82776        ----a-w-        c:\windows\system32\perfc007.dat

2009-08-05 21:02 . 2001-08-23 12:00        453122        ----a-w-        c:\windows\system32\perfh007.dat

2009-08-05 21:01 . 2009-08-05 21:01        --------        d-----w-        c:\programme\MSBuild

2009-08-05 20:58 . 2009-08-05 20:58        --------        d-----w-        c:\programme\Reference Assemblies

2009-08-05 20:40 . 2009-08-05 20:40        138        ----a-w-        c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

2009-08-05 19:23 . 2009-08-05 19:23        --------        d-----w-        c:\dokumente und einstellungen\yyy\Anwendungsdaten\T-Online

2009-08-05 19:16 . 2009-08-05 19:16        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\T-Online

2009-08-05 19:16 . 2009-08-05 19:16        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online

2009-08-05 19:16 . 2008-09-26 10:40        --------        d-----w-        c:\programme\Gemeinsame Dateien\Marmiko Shared

2009-08-05 19:00 . 2008-09-21 12:08        21740        ----a-w-        c:\windows\system32\emptyregdb.dat

2009-08-05 18:20 . 2009-07-01 09:49        2100        ----a-w-        c:\windows\system32\nodes.txt.tmp

2009-08-04 14:19 . 2009-08-04 14:19        --------        d-----w-        c:\programme\Software Informer

2009-08-04 11:24 . 2009-08-04 11:24        --------        d-----w-        c:\programme\AskBarDis

2009-08-04 11:24 . 2009-08-04 11:24        --------        d-----w-        c:\programme\DVDVideoSoft

2009-08-03 10:37 . 2009-08-01 13:18        --------        d-----w-        c:\dokumente und einstellungen\zzz\Anwendungsdaten\vlc

2009-08-01 22:15 . 2009-08-01 13:42        --------        d-----w-        c:\programme\ICQ6Toolbar

2009-08-01 19:21 . 2009-08-01 19:21        --------        d-----w-        c:\dokumente und einstellungen\zzz\Anwendungsdaten\AVS4YOU

2009-08-01 19:21 . 2009-08-01 19:21        --------        d-----w-        c:\dokumente und einstellungen\zzz\Anwendungsdaten\DivX

2009-08-01 17:24 . 2009-08-01 17:24        --------        d-----w-        c:\programme\Gemeinsame Dateien\AVSMedia

2009-08-01 16:52 . 2009-08-01 16:51        --------        d-----w-        c:\programme\Avidemux 2.5

2009-08-01 13:37 . 2009-03-29 15:17        --------        d-----w-        c:\programme\Windows Live Safety Center

2009-07-31 11:07 . 2009-07-31 11:07        --------        d-----w-        c:\programme\Gemeinsame Dateien\Sony Ericsson Shared

2009-07-31 11:07 . 2009-06-29 12:25        --------        d-----w-        c:\programme\Gemeinsame Dateien\Teleca Shared

2009-07-31 11:07 . 2009-07-31 11:07        --------        d-----w-        c:\programme\Sony Ericsson

2009-07-15 09:48 . 2009-08-08 13:25        29000        ----a-w-        c:\windows\system32\uxtuneup.dll

2009-05-01 21:02 . 2009-05-01 21:02        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll

2009-05-01 21:02 . 2009-05-01 21:02        1044480        ----a-w-        c:\programme\opera\program\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02        200704        ----a-w-        c:\programme\opera\program\plugins\ssldivx.dll

2006-05-03 10:06 . 2008-09-26 20:28        163328        --sha-r-        c:\windows\system32\flvDX.dll

2009-03-30 12:47 . 2009-02-20 19:39        848        --sha-w-        c:\windows\system32\KGyGaAvL.sys

2007-02-21 11:47 . 2008-09-26 20:28        31232        --sha-r-        c:\windows\system32\msfDX.dll

2007-12-17 13:43 . 2008-09-26 20:28        27648        --sha-w-        c:\windows\system32\Smab0.dll

2008-02-04 19:26 . 2008-09-26 20:28        151040        --sha-w-        c:\windows\system32\VistaUltm.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

"Messenger (Yahoo!)"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2009-05-26 4420848]

"Search Protection"="c:\programme\Yahoo!\Search Protection\SearchProtection.exe" [2009-02-23 111856]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-08-26 280080]

"YSearchProtection"="c:\programme\Yahoo!\Search Protection\SearchProtection.exe" [2009-02-23 111856]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-08 149280]

"Malwarebytes Anti-Malware (reboot)"="e:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1385808]

"Cmaudio"="cmicnfg.cpl" [BU]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2009-04-29 338432]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"= 1 (0x1)

"DisableRegistryTools"= 1 (0x1)
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

"FirewallOverride"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"UacDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"e:\\Programme\\ICQ6.5\\ICQ.exe"=

"e:\\Spiele\\S4\\S4Client.exe"=

"e:\\Spiele\\LF2.5\\lf2.5\\lf2.5.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"e:\\Programme\\hamachi.exe"=

"e:\\Spiele\\AOE II\\EMPIRES2.EXE"=

"e:\\Programme\\opera.exe"=

"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

"c:\\Programme\\uTorrent\\uTorrent.exe"=

"e:\\Spiele\\One Piece Most Wanted\\One Piece - Most Wanted 0.1.exe"=

"c:\\PROGRAMME\\T-ONLINE\\T-ONLINE_SOFTWARE_6\\BROWSER\\BROWSER.EXE"=

"c:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe"=

"c:\\PROGRA~1\\T-Online\\T-ONLI~1\\BASIS-~1\\Basis2\\kernel.exe"=

"c:\\Programme\\T-Online\\T-Online_Software_6\\Basis-Software\\Basis2\\kernel.exe"=

"c:\\PROGRA~1\\T-Online\\T-ONLI~1\\Notifier\\Notifier.exe"=

"e:\\Programme\\Malwarebytes' Anti-Malware\\mbamgui.exe"=
 

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [18.09.2009 15:58 206256]

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [26.09.2008 12:41 61440]

R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [08.08.2009 15:25 604488]

R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\mgnrql.sys --> c:\windows\system32\drivers\mgnrql.sys [?]

R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [26.01.2009 20:12 17536]

R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [26.08.2009 20:21 27632]

S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [26.09.2008 12:41 17280]

S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [26.01.2009 20:13 17152]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [26.08.2009 20:21 89256]

S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [26.08.2009 20:21 15016]

S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [26.08.2009 20:21 120744]

S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [26.08.2009 20:21 114216]

S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [26.08.2009 20:21 25512]

S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [26.08.2009 20:21 110632]

S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [26.08.2009 20:21 115752]

S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [18.09.2009 15:58 348752]
 

--- Andere Dienste/Treiber im Speicher ---
 

*NewlyCreated* - PROCEXP113

*Deregistered* - PROCEXP113
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

tapisrv        REG_MULTI_SZ           Tapisrv
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

Inhalt des "geplante Tasks" Ordners
 

2009-09-19 c:\windows\Tasks\1-Klick-Wartung.job

- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-07-15 10:07]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://de.yahoo.com/

mStart Page = hxxp://de.yahoo.com

uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com

IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-19 14:16

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Zeit der Fertigstellung: 2009-09-19 14:18

ComboFix-quarantined-files.txt  2009-09-19 12:17
 

Vor Suchlauf: 13 Verzeichnis(se), 15.886.077.952 Bytes frei

Nach Suchlauf: 13 Verzeichnis(se), 16.556.118.016 Bytes frei
 

266

combofix hat sich immer wieder von alleine zurück zu "ComboFix.exe" umbenannt,auch wenn ichs wieder unbenannt hab : letzten endes hieß es wieder so, hat das was zu bedeuten?

Dass ComboFix sich umbenennt dürfte i.O. gehen.
Läuft der Taskmanager wieder? Kannst Du die Windows-Firewall wieder aktivieren?

Erstell bitte auch ein neues RSIT-Logfile und poste es. (wieder über file-upload.)

Task Manager geht nicht :

Der Task-Manager wurde durch den Adminstrator deaktiviert.

Firewall ist ok

File-Upload.net - log.txt

1. Einträge mit HijackThis fixen

Bitte alle Anwendungen inkl. Browser schließen und folgende Einträge mit HJT fixen (falls noch vorhanden):
Starte HijackThis => Do a system scan only => mache vor folgenden Zeilen einen Haken (sofern diese noch existieren) und klicke dann unten den Button "Fix checked":

Code:

O4 - HKLM\..\Run: [YSearchProtection] "C:\Programme\Yahoo!\Search Protection\SearchProtection.exe"

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

2. Avenger
Direkt nach dem Fixen den Avenger bitte anwenden:

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

registry values to delete:

HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | "C:\DOKUME~1\Iliri\LOKALE~1\Temp\agxmi.exe"

HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winybynd.exe"

HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkrxlse.exe"

HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkoolr.exe"

HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winnubkoa.exe"

HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winfdql.exe"
 

files to delete:

C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe

C:\DOKUME~1\Iliri\LOKALE~1\Temp\agxmi.exe

C:\DOKUME~1\Iliri\LOKALE~1\Temp\winybynd.exe

C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkrxlse.exe

C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkoolr.exe

C:\DOKUME~1\Iliri\LOKALE~1\Temp\winnubkoa.exe

C:\DOKUME~1\Iliri\LOKALE~1\Temp\winfdql.exe

C:\WINDOWS\system32\drivers\mgnrql.sys

C:\WINDOWS\system32\npptNT2.sys
 

drivers to delete:

abp470n5

npptNT2

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 
 

Error:  could not delete registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\agxmi.exe""

Deletion of registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\agxmi.exe"" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  could not delete registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winybynd.exe""

Deletion of registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winybynd.exe"" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  could not delete registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkrxlse.exe""

Deletion of registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkrxlse.exe"" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  could not delete registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkoolr.exe""

Deletion of registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkoolr.exe"" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  could not delete registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winnubkoa.exe""

Deletion of registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winnubkoa.exe"" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  could not delete registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winfdql.exe""

Deletion of registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|"C:\DOKUME~1\Iliri\LOKALE~1\Temp\winfdql.exe"" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

File "C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe" deleted successfully.
 

Error:  file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\agxmi.exe" not found!

Deletion of file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\agxmi.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winybynd.exe" not found!

Deletion of file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winybynd.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkrxlse.exe" not found!

Deletion of file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkrxlse.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkoolr.exe" not found!

Deletion of file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winkoolr.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winnubkoa.exe" not found!

Deletion of file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winnubkoa.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winfdql.exe" not found!

Deletion of file "C:\DOKUME~1\Iliri\LOKALE~1\Temp\winfdql.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\drivers\mgnrql.sys" not found!

Deletion of file "C:\WINDOWS\system32\drivers\mgnrql.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

File "C:\WINDOWS\system32\npptNT2.sys" deleted successfully.

Driver "abp470n5" deleted successfully.

Driver "npptNT2" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Es kam allerdings immer wieder die Meldung dass ich nichts in der Registry verloren hätte weil ich kein Admin bin(Tut mir Leid,den genauen Wortlaut weiss ich nicht mehr).
Ich bin aber schon Admin.

Edit: Kriege immer eine Fehlermeldung :
Generic Host Process for Win32 Services hat ein Problem festgestellt und muss beendet werden.

So,nun passieren merkwürdige Dinge <<

Zum einen diese Fehlermeldung aus meinem vorherigen Post, nun krieg ich beim Internetabsturz auch so eine Meldung:
http://img524.imageshack.us/img524/2237/unbenanntvt.png

Und dann verändert sich die Ansicht,sprich : Anstatt diesem Standard blauen Balken von WindowsXP, krieg ich dieses alte graue Design von damals als Taskleiste.

edit:hab grad ein wenig im internet rumgesucht,könnte es sein dass tuneup09 die adminstratorrecht deaktiviert hat?

Was willst Du überhaupt mit der T-Online-Software?? Die brauchst Du nicht, um ins Internet zu gehen, selbst ohne Router. WinXP hat schon passende DSL-Treiber dabei => Ratgeber: DSL einrichten unter Windows XP - Netzwerktotal.de

Hast Du die Einträge mit Hijackthis gefixt? Wenn ja, bitte ein neues Logfile erstellen und hier posten.

Langsam vermute ich auch, dass der Schädlingsbefall Dein aktuelles Benutzerprofil gelöscht hat. Erstell mal bitte unter Systemsteuerung, Benutzer und Passwörter ein neues Konto mit Adminrechten und ein zweites mit einfachen Benutzerrechten.

Teste mit dem zweiten Adminkonto wie die Sache da aussieht, mit dem eingeschränkten Konto solltest Du in Zukunft arbeiten, denn man surft nicht mit Adminrechten!

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:25:54, on 19.09.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16876)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\vsnpstd.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Windows Live\Messenger\msnmsgr.exe

C:\DOKUME~1\xxx\LOKALE~1\Temp\7zS4A.tmp\Setup.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe

C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE

C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe

E:\Programme\opera.exe

C:\DOKUME~1\xxx\LOKALE~1\Temp\rhlja.exe

C:\DOKUME~1\xxx\LOKALE~1\Temp\winkqtk.exe

C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis\HijackThis.exe

C:\DOKUME~1\xxx\LOKALE~1\Temp\7zS4A.tmp\Data\WindowsXP-KB973507-x86-DEU.exe

C:\DOKUME~1\xxx\LOKALE~1\Temp\7zS36B.tmp\update\update.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxxp://de.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*hxxxp://de.search.yahoo.com

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - E:\Programme\rpbrowserrecordplugin.dll

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "E:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\RunOnce: [KB923561] rundll32.exe apphelp.dll,ShimFlushCache

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm

O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{934FA3AC-0E29-4055-AEAF-EBFAF9CB360B}: NameServer = 217.0.43.33 217.0.43.17

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

O23 - Service: Yahoo! Updater (YahooAUService) - Unknown owner - C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe (file missing)
 

--

End of file - 6629 bytes

Das mit den andren Konten versuch ich nun mal

Irgendwas muss ich da noch übersehen, oder es versteckt sich hartnäckig :(
Da sind immer noch solche laufenden Prozesse:

Code:

C:\DOKUME~1\xxx\LOKALE~1\Temp\rhlja.exe

C:\DOKUME~1\xxx\LOKALE~1\Temp\winkqtk.exe

Hat das mit den Konten geklappt? Mach doch auch mal mit einem anderen Tool noch Logfiles, es nennt sich OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.