Trojaner-Board - yhsrppjqqh.exe führt sich automatisch aus und legt dann den PC lahm

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - yhsrppjqqh.exe führt sich automatisch aus und legt dann den PC lahm (https://www.trojaner-board.de/77678-yhsrppjqqh-exe-fuehrt-automatisch-legt-dann-pc-lahm.html)

yhsrppjqqh.exe führt sich automatisch aus und legt dann den PC lahm

Hallo Leute,

ich habe folgendes Problem. Jedes Mal, wenn ich meinen PC starte, dann startet sich (zu sehen im Task-Manager) die Datei yhsrppjqqh.exe mit. Nach wenigen Sekunden fängt dieses Programm dann an, sich selbst immer wieder aufzurufen und auf nach ein paar Minuten habe ich hunderte dieser Dateien in meinem Task-Manager.
Die Systemauslastung geht natürlich auf 100% und mein PC ist vollkommen lahmgelegt.
Deswegen habe ich die Festplatte ausgebaut und diese an meinen zweiten PC angeschlossen, damit diese dort nicht als "Primary", sondern als zweite Festplatte ausgeführt wird. Auf diese Weise konnte ich ohne Probleme auf die Festplatte zugreifen und habe folgendes gemacht:

HiJackthis durchlaufen lassen (kein Ergebnis, das mir weitergeholfen hätte - Logfile folgt), sowie Ad-Aware, Malewarebytes und Antivir durchlaufen lassen. Diese drei Programme haben alle etwas gefunden und ich habe es bereinigen lassen.
Leider führt sich die Datei beim Systemstart weiterhin auf und die einzige Möglichkeit zu verhindern, dass mein PC abstürzt ist, dass ich die Datei sofort über den Task-Manager mit "Prozessstruktur beendet" kille. Dann läuft der PC auch ohne Probleme.

Des weiteren laufen seitdem auch auffällig viele svhost.exe auf meinem PC.

GOOGLE liefert übrigens keine Ergebnisse zu der *.exe-Datei - ich gehe davon aus, dass sich dieser Virus auf jedem PC anders benennt.

Hier das Log-File von HiJackThis (die Datei ist zwar in dem Log-File zu finden, ist aber nicht verschwunden, wenn ich auf "Fix" drücke):

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:33:16, on 20.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Kodak\printer\center\KodakSvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
*.local;*.local
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222370501296
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - h**p://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: cru629.dat
O20 - Winlogon Notify: fdfaebcaebcd - C:\WINDOWS\system32\fdfaebcaebcd.dll (file missing)
O22 - SharedTaskScheduler: ghya673gidh87we9inkff - {BF56A325-23F2-42AD-F4E4-00AAC39CAA53} - (no file)
O23 - Service: Microsoft DDE+ server (a1239bbbc00a1f3c) - Unknown owner - C:\WINDOWS\system32\.a1239bbbc00a1f3c\a1239bbbc00a1f3c.exe (file missing)
O23 - Service: Microsoft DDE+ server a1239bbbc00a1f3cAlerter (a1239bbbc00a1f3calerter) - Unknown owner - C:\WINDOWS\TEMP\yhsrppjqqh.exe
O23 - Service: Avira AntiVir Planer (antivirschedulerservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (antivirservice) - Unknown owner - C:\Programme\Avira\AntiVir Desktop\avguard.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kodak AiO Device Service (KodakSvc) - Eastman Kodak Company - C:\Programme\Kodak\printer\center\KodakSvc.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 6574 bytes

Ich hoffe, jemand kann mir helfen.

MfG,
Timosy

Ich habe die Datei jetzt im TEMP-Ordner gelöscht bekommen und es sieht so aus, als hätte es geholfen.
Das Problem mit den ganzen svhost bleibt jedoch.

MfG,
Timosy

Hallo und :hallo:

Code:

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Du hast wichtige Updates verpasst! Mehr dazu später. Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Zitat:

Zitat von cosinus (Beitrag 466970)

Hallo und :hallo:

Code:

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Hallo und danke schonmal für die Antwort.

Was die Updates angeht, bin ich mir bewusst, dass ich einige "verpasst" habe. Liegt daran, dass die Leute von Microsoft bestimmt nicht so begeistert von mir wären.... wie auch immer
Ich habe mir den Thread mal eben angesehen und der Link zu diesem "RSIT" funktioniert nicht. Habe auch nochmal eben bei Google nachgeschaut, aber auch die Seite, die ich dort finde kann mir nicht angezeigt werden. Gibt es das Programm überhaupt noch? Habe nämlich in den letzten Tagen festgestellt, dass so ziemlich alle Online-Virenscanns nicht mehr zu erreichen sind.

Was Malewarebytes angeht, so findet das Programm mittlerweile nichts mehr. Der letzte Virus, der vorhin erfolgreich gelöscht wurde ist der folgende:

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.

MfG,
Timosy

Was meinst Du damit, dass MS nicht so begeistert wäre? Du hast doch keine schwarze Version von Windows? :teufel2:
Bitte arbeite die Liste ab und poste die Logfiles.

Zitat:

Zitat von cosinus (Beitrag 467102)

Was meinst Du damit, dass MS nicht so begeistert wäre? Du hast doch keine schwarze Version von Windows? :teufel2:
Bitte arbeite die Liste ab und poste die Logfiles.

Aus irgendeinem Grund funktioniert der RSIT-Link jetzt wieder.

Hier also die Log-Files: <KLICK>

:)

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus. Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: (Vorsicht, die Liste ist lang, bitte wirklich ALLES exakt kopieren!!)

Code:

registry keys to delete:

HKLM\software\microsoft\shared tools\msconfig\startupreg\msn webcam hack

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fdfaebcaebcd
 

registry values to delete:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLS

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler | ghya673gidh87we9inkff
 

folders to delete:

C:\WINDOWS\system32\.a1239bbbc00a1f3c
 

files to delete:

C:\WINDOWS\tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job

C:\WINDOWS\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX04.875\msn webcam hack.exe

C:\WINDOWS\system32\fdfaebcaebcd.dll

C:\WINDOWS\system32\iebho1A.dll

C:\WINDOWS\system32\stu2.exe

C:\WINDOWS\rejjwusl.txt

C:\WINDOWS\System32\drivers\828b2086.sys

C:\WINDOWS\system32\drivers\qhtrdmxrptewmdxv.sys

C:\WINDOWS\system32\drivers\lsxnucnbdd.sys

C:\WINDOWS\system32\0B.tmp

C:\WINDOWS\TEMP\yhsrppjqqh.exe
 

drivers to delete:

828b2086

qhtrdmxrptewmdxv

yxztndtjhasfgpj

scdkjpvju

a1239bbbc00a1f3c

a1239bbbc00a1f3calerter

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Zitat:

Zitat von cosinus (Beitrag 467119)

Bitte mal den Avenger anwenden
[...]

Sorry für die späte Antwort, aber ich war die letzten drei Tage auf dem Oktoberfest in München :)

Mein Pc hat nach dem Avenger beim Hochfahren eine Fehlermeldung gezeigt, ist direkt wieder abgestürzt und hat sich danach mehrmals aufgehängt.
Das Logfile wurde mir dementsprechend beim Start nicht angezeigt. Hat das Programm das File vll. irgendwo gespeichert? Würde den Avenger eigentlich ungerne nochmal starten, bevor das ganze nochmal passiert.

MfG,
Timosy

Probier das nochmal mit dem Avenger, aber benutze dieses veränderte Script:

Code:

registry keys to delete:

HKLM\software\microsoft\shared tools\msconfig\startupreg\msn webcam hack

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fdfaebcaebcd
 

registry values to delete:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLS

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler | ghya673gidh87we9inkff
 

folders to delete:

C:\WINDOWS\system32\.a1239bbbc00a1f3c
 

files to delete:

C:\WINDOWS\tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job

C:\WINDOWS\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX04.875\msn webcam hack.exe

C:\WINDOWS\system32\fdfaebcaebcd.dll

C:\WINDOWS\system32\iebho1A.dll

C:\WINDOWS\system32\stu2.exe

C:\WINDOWS\rejjwusl.txt

C:\WINDOWS\system32\0B.tmp

C:\WINDOWS\TEMP\yhsrppjqqh.exe
 

drivers to delete:

828b2086

qhtrdmxrptewmdxv

yxztndtjhasfgpj

scdkjpvju

a1239bbbc00a1f3c

a1239bbbc00a1f3calerter

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 
 

Error:  folder "C:\WINDOWS\system32\.a1239bbbc00a1f3c" not found!

Deletion of folder "C:\WINDOWS\system32\.a1239bbbc00a1f3c" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job" not found!

Deletion of file "C:\WINDOWS\tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job" not found!

Deletion of file "C:\WINDOWS\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  could not open file "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX04.875\msn webcam hack.exe"

Deletion of file "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX04.875\msn webcam hack.exe" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

  --> bad path / the parent directory does not exist
 
 

Error:  file "C:\WINDOWS\system32\fdfaebcaebcd.dll" not found!

Deletion of file "C:\WINDOWS\system32\fdfaebcaebcd.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\iebho1A.dll" not found!

Deletion of file "C:\WINDOWS\system32\iebho1A.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\stu2.exe" not found!

Deletion of file "C:\WINDOWS\system32\stu2.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\rejjwusl.txt" not found!

Deletion of file "C:\WINDOWS\rejjwusl.txt" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\0B.tmp" not found!

Deletion of file "C:\WINDOWS\system32\0B.tmp" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\TEMP\yhsrppjqqh.exe" not found!

Deletion of file "C:\WINDOWS\TEMP\yhsrppjqqh.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\828b2086" not found!

Deletion of driver "828b2086" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\qhtrdmxrptewmdxv" not found!

Deletion of driver "qhtrdmxrptewmdxv" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\yxztndtjhasfgpj" not found!

Deletion of driver "yxztndtjhasfgpj" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\scdkjpvju" not found!

Deletion of driver "scdkjpvju" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\a1239bbbc00a1f3c" not found!

Deletion of driver "a1239bbbc00a1f3c" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\a1239bbbc00a1f3calerter" not found!

Deletion of driver "a1239bbbc00a1f3calerter" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "HKLM\software\microsoft\shared tools\msconfig\startupreg\msn webcam hack" not found!

Deletion of registry key "HKLM\software\microsoft\shared tools\msconfig\startupreg\msn webcam hack" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fdfaebcaebcd" not found!

Deletion of registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fdfaebcaebcd" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  could not delete registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLS"

Deletion of registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLS" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  could not delete registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler|ghya673gidh87we9inkff"

Deletion of registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler|ghya673gidh87we9inkff" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Seit dem ersten Ausführen von dem Avanger bleibt der Willkommens-Screen von Win XP extrem lange und der Explorer startet nur dann, wenn ich ihn über den Taskmanager (--> Ausführen) starte.

Timosy

Wahrscheinlich wurden die Dateien bzw. Objekte schon beim ersten Durchlauf gelöscht. Mach mal bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Der Explorer startet nun auch wieder automatisch!

Code:

ComboFix 09-09-27.04 - Administrator 28.09.2009 13:24.1.2 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.606 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\$recycle.bin\S-1-5-21-4162097451-3841355517-2986428910-1000

C:\data

c:\data\R\HISTR_200805.bin

c:\data\U\HISTU_200804.bin

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Clip Organizer\mstore10.mgc

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Clip Organizer\Offic10.MGC

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\wepy.bat

c:\dokumente und einstellungen\All Users\Dokumente\yganekapi.inf

c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811

c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1858

c:\recycler\S-1-5-21-0610197004-5240044920-752775119-5883

c:\recycler\S-1-5-21-0623066435-5675451551-020466605-7006

c:\recycler\S-1-5-21-3866471005-8910711136-560691986-4915

c:\recycler\S-1-5-21-7781263933-0954319402-709619260-8409

c:\windows\dyzyxaxyv.inf

c:\windows\Installer\4d84f2.msp

c:\windows\Installer\4d84f3.msp

c:\windows\Installer\4d84f4.msp

c:\windows\Installer\4d84f5.msp

c:\windows\Installer\4d84f6.msp

c:\windows\Installer\4d84f7.msp

c:\windows\Installer\4d84f8.msp

c:\windows\Installer\4d84f9.msp

c:\windows\Installer\4d84fa.msp

c:\windows\obuzegox.dll

c:\windows\system32\Drivers\ksmh.sys

c:\windows\system32\drivers\str.sys

c:\windows\system32\ieBHo.dll

c:\windows\system32\rotscxccrrselt.dat

c:\windows\system32\rotscxfvkixdqj.dat

c:\windows\system32\rotscxifjnuxdq.dat

c:\windows\system32\rotscxlog.dat

c:\windows\system32\rotscxrmejxtet.dat
 

Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert 

Kopie von - c:\windows\system32\dllcache\userinit.exe wurde wiederhergestellt 
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_rotscxrqpxvohx

-------\Legacy_TDSSSERV

-------\Service_rotscxrqpxvohx

-------\Service_TDSSserv
 
 

(((((((((((((((((((((((   Dateien erstellt von 2009-08-28 bis 2009-09-28  ))))))))))))))))))))))))))))))

.
 

2009-09-21 07:20 . 2009-09-21 07:20        --------        d-----w-        C:\rsit

2009-09-20 15:04 . 2009-03-30 08:33        96104        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2009-09-20 15:04 . 2009-02-13 10:29        22360        ----a-w-        c:\windows\system32\drivers\avgntmgr.sys

2009-09-20 15:04 . 2009-02-13 10:17        45416        ----a-w-        c:\windows\system32\drivers\avgntdd.sys

2009-09-20 14:30 . 2009-09-20 13:28        15688        ----a-w-        c:\windows\system32\lsdelete.exe

2009-09-20 13:28 . 2009-09-20 13:27        64160        ----a-w-        c:\windows\system32\drivers\Lbd.sys

2009-09-20 13:27 . 2009-09-20 13:27        --------        dc-h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-09-15 21:06 . 2009-07-28 14:33        55656        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2009-09-15 21:06 . 2009-09-15 21:06        --------        d-----w-        c:\programme\Avira

2009-09-15 21:06 . 2009-09-15 21:06        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2009-09-02 10:13 . 2005-06-06 15:51        11264        ----a-w-        c:\windows\system32\drivers\vulfntr.sys

2009-09-02 10:13 . 2005-01-05 16:02        6912        ----a-w-        c:\windows\system32\drivers\vulfnth.sys

2009-09-02 10:13 . 2003-10-03 14:28        45056        ----a-w-        c:\windows\system32\vusetup.dll

2009-09-02 07:54 . 2009-09-02 07:56        --------        d-----w-        c:\programme\Mediatwins software

2009-08-30 19:08 . 2009-09-20 18:53        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-26 19:02 . 2007-05-05 12:12        --------        d-----w-        c:\programme\Steam

2009-09-26 18:56 . 2007-05-03 12:56        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype

2009-09-20 13:27 . 2008-10-20 13:32        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

2009-09-17 20:47 . 2009-05-04 12:01        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Screentime

2009-09-17 20:47 . 2007-07-09 12:18        --------        d-----w-        c:\programme\Bonjour

2009-09-17 20:43 . 2008-02-08 23:48        --------        d-----w-        c:\programme\EA GAMES

2009-09-17 20:43 . 2008-02-04 20:50        --------        d-----w-        c:\programme\Mozilla Thunderbird

2009-09-17 18:56 . 2008-09-21 14:55        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\mIRC

2009-09-15 21:00 . 2008-10-01 16:27        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan

2009-09-08 11:13 . 2007-06-25 13:47        52774        ----a-w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\wklnhst.dat

2009-09-05 13:47 . 2009-07-13 09:41        --------        d-----w-        c:\programme\Windows Live Safety Center

2009-08-26 15:14 . 2008-10-20 15:47        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-08-25 19:07 . 2007-05-23 16:58        --------        d-----w-        c:\programme\DivX

2009-08-25 19:07 . 2009-03-26 19:44        --------        d-----w-        c:\programme\Gemeinsame Dateien\DivX Shared

2009-08-14 17:25 . 2009-08-14 17:25        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\teamspeak2

2009-08-14 17:25 . 2009-08-14 17:25        --------        d-----w-        c:\programme\Teamspeak2_RC2

2009-08-11 10:44 . 2009-08-11 10:44        --------        d-----w-        c:\programme\iTunes

2009-08-11 10:44 . 2009-08-11 10:44        --------        d-----w-        c:\programme\iPod

2009-08-11 10:44 . 2007-09-10 09:08        --------        d-----w-        c:\programme\Gemeinsame Dateien\Apple

2009-08-11 10:42 . 2009-08-11 10:42        --------        d-----w-        c:\programme\QuickTime

2009-07-01 19:35 . 2004-08-04 12:00        78360        ----a-w-        c:\windows\system32\perfc007.dat

2009-07-01 19:35 . 2004-08-04 12:00        442770        ----a-w-        c:\windows\system32\perfh007.dat

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]

"DU Meter"="c:\programme\DU Meter\DUMeter.exe" [2006-01-18 1480192]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-07-13 292128]

"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-09-26 520024]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" - c:\windows\system32\Hdaudpropshortcut.exe [2004-03-17 61952]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-05-11 1519616]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-08-24 77824]

"AlcWzrd"="ALCWZRD.EXE" - c:\windows\ALCWZRD.EXE [2004-08-24 2552320]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-04 110592]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
 

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\

ChkDisk.lnk - c:\windows\system32\rundll32.exe  [2004-8-4 33792]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-7-14 110592]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk

backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microtek Scanner Finder.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microtek Scanner Finder.lnk

backup=c:\windows\pss\Microtek Scanner Finder.lnkCommon Startup
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Steam\\steamapps\\de_timo\\counter-strike source\\hl2.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\EA GAMES\\Battlefield 2 Demo\\BF2.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\ICQ6.5\\ICQ.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6993:TCP"= 6993:TCP:fqgqyhp
 

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [20.09.2009 15:28 64160]

R2 antivirschedulerservice;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.09.2009 23:06 108289]

R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [23.06.2008 22:22 222968]

R2 KodakSvc;Kodak AiO Device Service;c:\programme\Kodak\Printer\Center\KodakSvc.exe [28.02.2008 17:57 18944]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [08.01.2009 14:00 1028432]

S2 itqfkn;Task Installer;c:\windows\system32\svchost.exe -k netsvcs [04.08.2004 14:00 14336]

S2 zfqwucpro;Universal Microsoft;c:\windows\system32\svchost.exe -k netsvcs [04.08.2004 14:00 14336]

S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt --> c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [?]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

itqfkn

.

Inhalt des "geplante Tasks" Ordners
 

2009-09-20 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-08 11:15]
 

2009-06-26 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\z3m80xnq.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de

FF - plugin: c:\programme\Picasa\npPicasa3.dll

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-28 13:29

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]

"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\itqfkn]

"ServiceDll"="c:\windows\system32\gknegnm.dll"

--
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zfqwucpro]

"ServiceDll"="c:\windows\system32\gknegnm.dll"

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\programme\Bonjour\mDNSResponder.exe

c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\HPZipm12.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wbem\unsecapp.exe

c:\windows\system32\wscntfy.exe

c:\programme\iPod\bin\iPodService.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-09-28 13:32 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2009-09-28 11:32
 

Vor Suchlauf: 17 Verzeichnis(se), 131.843.432.448 Bytes frei

Nach Suchlauf: 20 Verzeichnis(se), 131.747.323.904 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

214

Weiter gehts:

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

c:\windows\system32\gknegnm.dll

Danach ist Scripten mit CF angesagt:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:

KILLALL::
 

Registry::

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"6993:TCP"=-

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall"=-
 

Collect::

c:\windows\system32\gknegnm.dll
 

NetSvc::

itqfkn

zfqwucpro

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Soo.. Habe mir soeben doch mal die neuesten Updates von MS gezogen.

Diese Datei (c:\windows\system32\gknegnm.dll) war nicht mehr vorhanden.

Hier das Logfile von ComboFix: File-Upload.net - ComboFix-Log---timosy.txt

MfG,
Timosy

Hast Du das genau so mit dem CFScript auch gemacht? Die Einträge, die ich so löschen wollte, sind nämlich immer noch da.