Trojaner-Board - Taskmanager wird immer wieder deaktiviert

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Taskmanager wird immer wieder deaktiviert (https://www.trojaner-board.de/71838-taskmanager-immer-deaktiviert.html)

Taskmanager wird immer wieder deaktiviert

Moin,
ich bin mittlerweile richtig sauer! Vor allem da ich vor 4 Tagen erst meinen rechner neu aufgesetzt hatte.
Wenn ich den TaskManager öffnen will kommt die Meldung das der Manager vom Administrator deaktiviert wurde. Der Administrator bin aber ich! Und ich habe den mit Sicherheit nicht deaktiviert. Im Übrigen kann ich auch nicht die regedit.exe ausführen gleiche Meldung.
Desweiteren blockiert jenes Programm, welches auch meinen TaskManager deaktiviert auch Sophos.
Ich habe schon verschiedene Methoden benutzt die alle nicht geholfen haben:

- DisableTaskMgr.reg auf 0 stellen bzw löschen -nicht geholfen-

Hat sich danach sofort wieder umgestellt bzw. neu generiert.
- AdAware Scan: Hat die Stellen zwar laut Programm behoben und weiter nur ein paar Tracking Cookies gefunden aber die Einträge haben sich trotzdem neu registriert. (Logfile hab ich nicht gespeichert. )
-gpedit.msc: dort die STRG+ALT+Entf Option - TaskManager sperren habe ich auf deaktiviert stehen aber es nützt trotzdem nichts.
- alle Probleme bleiben auch nach einem Neustart bestehen.

Wenn ich Hijackthis runterladen will blockiert Sophos es und spuckt eine Meldung mit Mal/behav-067 und danach kommt eine Fehlermeldung das ich die Ordneroptionen umändern müsste.

Ich weiß echt nicht mehr weiter... PC neu aufsetzen will ich nicht! Hatte schon genug streß mit... vielleicht könnt ihr mir ja helfen.

Auch habe ich ein Problem mit meinem Grafikkartentreiber:
Nach installation werde ich aufgefordert den PC neu zu starten nach dem Windows Pro Ladebalken springt der Monitor in den Standby Modus und nach ca. 30 Sekunden startet der PC wieder neu. In dieser Situation kann ich nichts machen außerden PC vorher schon auszuschalten.

Hat sich auch dein Desktop Hintergrund geändert und lässt sich nicht wieder ändern? Ich glaube du hast SpySherrif oder Winhound oder etwas in der Art.

Start --> Ausführen --> msconfig
Alle Autostarts Deaktivieren (merken was Aktiviert ist ums später rückgänig zu machen). Sophos Echtzeitschutzt Deaktivieren.
Unter msconfig -> Dienste -> Microsoft dienste Ausblenden -> Alles von Sophos deaktivieren.
Wir machen das Später rückgängig, nur das die Scanns laufen.

Neustarten.
1. HiJackThis von hier runterladen
Wenn es geklappt hat (oder auch nicht)
http://www.trojaner-board.de/51187-a...i-malware.html

http://www.trojaner-board.de/51871-a...tispyware.html

Danach nochmal versuchen HiJackThis runterladen.
Klappts nicht dann das hier:
http://virus-protect.org/artikel/tools/random.html

Hallo und :hallo:

Zitat:

Vor allem da ich vor 4 Tagen erst meinen rechner neu aufgesetzt hatte.

Dann solltest du den Verursacher finden. Neuinstallation ist schneller und sicherer als Reinigung, in deinem Fall könnte allerdings ein externer Datenträger die Ursache sein.

GMER - Rootkit Detection

Lade Trallala von file-upload.net
Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
Doppelklick auf Trallala.exe
Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Danke erstmal für die schnellen Antworten.

@grandnic11: Nein, mein Desktop hat sich nicht verändert, ich kann ihn nach belieben ändern.

Hab in der zwischenzeit ein AdAware Scan gemacht

http://nopaste.biz/72030 <-- AdAware log

Zitat:

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-08 21:30:34
Windows 5.1.2600 Service Pack 3

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\drivers\ejunpl.sys Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs savonaccessfilter.sys (SAV On-access for Windows XP (x86)/Sophos plc)
AttachedDevice \FileSystem\Fastfat \Fat savonaccessfilter.sys (SAV On-access for Windows XP (x86)/Sophos plc)

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\wbem\Logs\wbemcore.log (size mismatch) 2852/3036 bytes

---- EOF - GMER 1.0.15 ----

@hurrican. deine methode werde ich sofort ausführen.

EDIT: Hat geklappt. Hab ein Log erstellt, soll ich die beiden Anleitung trotzdem durchführen?

HiJackThis log

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:38:40, on 08.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.********.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5639 bytes

@john.doe: ja, mein Bruder hatte einen USB Stick bei mir angeschlossen den er vorher an einem Virenverseuchten Rechner in der Schule hatte. An seinem PC ist das gleiche Problem... beim Laptop wo Vista drauf läuft ist das nicht so, es scheint also nur XP anzugreifen

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Handy, Kamera, Memorysticks, Speicherkarten, externe Laufwerke, ..., dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

ich würde ja gerne mein system mit dem ccleaner bereinigen aber immer dann wenn ich die .exe öffne erscheint das fenster für einen Augenblick und schließt sich danach wieder.

Dann benutze die windowseigene Methode:

Start => Ausführen => cleanmgr (eintippeln) => OK

Alle Haken, bis auf den letzten setzen => OK

ciao, andreas

Zitat:

ComboFix 09-04-04.01 - Jan-Hendrik 2009-04-08 22:34:07.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2047.1687 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Jan-Hendrik\Desktop\ComboFix.exe
AV: Sophos Anti-Virus *On-access scanning enabled* (Outdated)
FW: NVIDIA Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\INSTALL.LOG
H:\Autorun.inf
I:\autorun.inf
I:\mkisw.pif

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DAC970NT
-------\Service_dac970nt

((((((((((((((((((((((( Dateien erstellt von 2009-03-08 bis 2009-04-08 ))))))))))))))))))))))))))))))
.

2009-04-08 21:38 . 2009-04-08 21:38 <DIR> d-------- c:\programme\Trend Micro
2009-04-08 17:11 . 2009-04-08 17:11 <DIR> d-------- c:\programme\Lavasoft
2009-04-08 17:10 . 2009-04-08 22:14 <DIR> d-------- c:\programme\CCleaner
2009-04-08 13:48 . 2009-04-08 13:48 <DIR> d-------- c:\windows\system32\KB905474
2009-04-08 13:48 . 2009-04-08 13:48 <DIR> d-------- c:\programme\MSXML 4.0
2009-04-08 13:48 . 2009-03-10 22:26 1,436,544 --a------ c:\windows\system32\KB905474\wganotifypackageinner.exe
2009-04-08 13:48 . 2009-03-10 22:18 524,680 --a------ c:\windows\system32\KB905474\wgasetup.exe
2009-04-08 13:48 . 2009-02-09 18:51 15,772 --a------ c:\windows\system32\KB905474\wga_eula.txt
2009-04-08 13:10 . 2009-04-08 13:10 <DIR> d--h----- c:\windows\system32\GroupPolicy
2009-04-08 12:57 . 2009-04-08 12:57 <DIR> d-------- c:\programme\Razer
2009-04-08 12:57 . 2001-01-04 10:12 162,900 --------- c:\windows\system32\drivers\USBICP.sys
2009-04-08 12:57 . 2005-07-22 15:01 69,632 --a------ c:\windows\system32\razer.cpl
2009-04-08 12:57 . 2005-08-12 10:11 19,020 --a------ c:\windows\system32\drivers\Razerlow.sys
2009-04-08 12:26 . 2009-04-08 12:26 <DIR> d-------- c:\windows\system32\de-de
2009-04-08 12:26 . 2009-04-08 12:26 <DIR> d-------- c:\windows\system32\de
2009-04-08 12:26 . 2009-04-08 12:26 <DIR> d-------- c:\windows\system32\bits
2009-04-08 12:26 . 2009-04-08 12:26 <DIR> d-------- c:\windows\l2schemas
2009-04-08 12:25 . 2009-04-08 12:25 <DIR> d-------- c:\windows\ServicePackFiles
2009-04-08 00:56 . 2009-04-08 17:12 <DIR> d-------- c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\Lavasoft
2009-04-08 00:24 . 2009-04-08 00:24 <DIR> d-------- c:\programme\TuneUp Utilities 2009
2009-04-08 00:24 . 2009-04-08 00:24 <DIR> d-------- c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\TuneUp Software
2009-04-08 00:24 . 2009-04-08 00:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-04-08 00:24 . 2009-04-08 00:24 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-04-08 00:24 . 2009-04-08 00:24 604,416 --a------ c:\windows\system32\TUProgSt.exe
2009-04-08 00:24 . 2009-04-08 00:24 360,704 --a------ c:\windows\system32\TuneUpDefragService.exe
2009-04-08 00:24 . 2009-03-20 15:01 28,416 --a------ c:\windows\system32\uxtuneup.dll
2009-04-08 00:15 . 2009-04-08 00:15 <DIR> d-------- c:\programme\Sophos
2009-04-08 00:15 . 2009-04-08 00:15 <DIR> d-------- c:\programme\Gemeinsame Dateien\Cisco Systems
2009-04-08 00:15 . 2009-04-08 00:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos
2009-04-08 00:15 . 2006-05-08 11:00 15,872 --a------ c:\windows\system32\SophosBootTasks.exe
2009-04-08 00:12 . 2009-04-08 00:12 <DIR> d-------- C:\savxpsa
2009-04-08 00:12 . 2006-01-05 16:43 80,128 --a------ c:\windows\system32\drivers\savonaccesscontrol.sys
2009-04-08 00:12 . 2006-01-05 16:43 24,064 --a------ c:\windows\system32\drivers\savonaccessfilter.sys
2009-04-07 19:28 . 2009-04-07 19:28 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-04-07 18:00 . 2009-04-07 18:00 <DIR> d-------- c:\programme\Bonjour
2009-04-07 17:56 . 2009-04-07 17:56 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-04-07 17:50 . 2009-04-08 00:17 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe
2009-04-07 17:16 . 2009-04-07 17:16 <DIR> d-------- c:\programme\FileZilla
2009-04-07 16:51 . 2002-07-08 00:14 1,294,336 --a------ c:\windows\system32\vorbis.acm
2009-04-07 16:51 . 2006-06-20 10:56 225,280 --a------ c:\windows\system32\rewire.dll
2009-04-07 16:50 . 2009-04-07 16:50 <DIR> d-------- c:\programme\Outsim
2009-04-07 16:50 . 2009-04-07 16:51 <DIR> d-------- c:\programme\Image-Line
2009-04-07 16:34 . 2009-04-07 16:34 <DIR> d-------- c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\Steinberg
2009-04-07 16:29 . 2005-05-09 20:08 33,792 --a------ c:\windows\system32\drivers\cledx.sys
2009-04-07 16:24 . 2009-04-07 16:24 <DIR> d-------- c:\programme\Steinberg
2009-04-07 16:24 . 2009-04-07 16:24 <DIR> d-------- c:\programme\Pinnacle
2009-04-07 16:24 . 2004-07-12 16:27 487,936 --a------ c:\windows\system\Rmbe3260.dll
2009-04-07 16:24 . 2004-07-12 16:27 352,768 --a------ c:\windows\system\pngu3263.dll
2009-04-07 16:24 . 2004-07-12 16:27 273,408 --a------ c:\windows\system\Pncrt.dll
2009-04-07 16:24 . 2004-07-12 16:27 131,072 --a------ c:\windows\system\Pneng50.dll
2009-04-07 16:24 . 2004-07-12 16:27 130,560 --a------ c:\windows\system\Pnc3250.dll
2009-04-07 16:24 . 2004-07-12 16:27 87,040 --a------ c:\windows\system\Ra32sipr.dll
2009-04-07 16:24 . 2004-07-12 16:27 85,504 --a------ c:\windows\system\Encdnet.dll
2009-04-07 16:24 . 2004-07-12 16:27 81,920 --a------ c:\windows\system\Ra3214_4.dll
2009-04-07 16:24 . 2004-07-12 16:27 72,704 --a------ c:\windows\system\Ra3228_8.dll
2009-04-07 16:24 . 2004-07-12 16:27 61,952 --a------ c:\windows\system\Decdnet.dll
2009-04-07 16:24 . 2004-07-12 16:27 21,504 --a------ c:\windows\system\Ra32dnet.dll
2009-04-07 16:22 . 2009-04-07 16:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Pinnacle
2009-04-07 16:22 . 2003-08-01 05:28 147,425 --a------ c:\windows\system32\SYNSOACC-Aide.chm
2009-04-07 16:22 . 2003-05-27 00:29 120,468 --a------ c:\windows\system32\SYNSOACC-Hilfe.chm
2009-04-07 16:22 . 2003-05-27 00:29 114,279 --a------ c:\windows\system32\SYNSOACC-Help.chm
2009-04-07 16:19 . 2009-04-07 16:19 <DIR> d-------- c:\programme\Realtek AC97
2009-04-07 15:42 . 2009-04-07 15:42 <DIR> d-------- c:\programme\Lavalys
2009-04-07 00:24 . 2009-04-07 15:52 169 --a------ c:\windows\RtlRack.ini
2009-04-07 00:23 . 2009-04-07 00:23 <DIR> d-------- c:\programme\Realtek Sound Manager
2009-04-07 00:23 . 2009-04-07 00:23 <DIR> d-------- c:\programme\AvRack
2009-04-07 00:23 . 2006-11-17 05:40 18,804,736 --a------ c:\windows\system32\alsndmgr.cpl
2009-04-07 00:23 . 2006-12-08 15:20 10,528,768 --a------ c:\windows\system32\RTLCPL.exe
2009-04-07 00:23 . 2008-09-24 10:40 4,122,368 -ra------ c:\windows\system32\drivers\alcxwdm.sys
2009-04-07 00:23 . 2007-04-16 15:28 577,536 --a------ c:\windows\soundman.exe
2009-04-07 00:23 . 2006-07-31 11:19 315,392 --a------ c:\windows\alcupd.exe
2009-04-07 00:23 . 2006-07-31 11:27 217,088 --a------ c:\windows\Alcrmv.exe
2009-04-07 00:23 . 2006-10-18 02:53 147,456 --a------ c:\windows\system32\RtlCPAPI.dll
2009-04-07 00:23 . 2002-02-05 13:54 141,016 --a------ c:\windows\system32\alsndmgr.wav
2009-04-07 00:23 . 2006-08-01 15:02 49,152 --a------ c:\windows\system32\ChCfg.exe
2009-04-06 23:54 . 2009-04-07 16:29 <DIR> d-------- c:\programme\Syncrosoft
2009-04-06 23:54 . 2005-02-01 04:34 700,416 --a------ c:\windows\system32\SYNSOACC.dll
2009-04-06 23:54 . 2004-05-11 00:58 147,456 --a------ c:\windows\system32\SynsoLChk.dll
2009-04-06 23:54 . 2002-11-25 17:36 45,056 --a------ c:\windows\system32\Synsopos.exe
2009-04-06 23:54 . 2001-04-09 14:03 17,784 --a------ c:\windows\system32\drivers\NSynas32.sys
2009-04-06 23:54 . 2002-11-25 14:46 16,896 --a------ c:\windows\system32\drivers\SynasUSB.sys
2009-04-06 15:41 . 2009-04-06 15:41 552 --a------ c:\windows\system32\d3d8caps.dat
2009-04-06 15:29 . 2009-04-06 23:37 <DIR> d-------- c:\windows\NV40044016.TMP
2009-04-06 15:29 . 2009-04-06 15:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\InstallShield
2009-04-06 15:27 . 2006-03-20 17:33 73,728 --a------ c:\windows\system32\ISUSPM.cpl
2009-04-06 15:26 . 2009-04-06 15:33 <DIR> d-------- C:\NFSC
2009-04-06 15:22 . 2009-03-27 10:03 215,465 --a------ c:\windows\system32\nvapps.nvb
2009-04-06 15:19 . 2009-04-08 16:59 664 --a------ c:\windows\system32\d3d9caps.dat
2009-04-06 15:15 . 2002-11-02 09:53 57,344 --a------ c:\windows\system32\WNASPINT.DLL
2009-04-06 03:40 . 2009-04-06 03:40 <DIR> d-------- c:\windows\system32\QuickTime
2009-04-06 03:40 . 2009-04-06 15:09 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macromedia
2009-04-06 03:02 . 2009-04-06 03:02 13,646 --a------ c:\windows\system32\wpa.bak
2009-04-06 03:01 . 2009-04-06 03:01 <DIR> dr------- c:\dokumente und einstellungen\LocalService\Favoriten
2009-04-06 02:57 . 2006-11-17 11:29 88,691 --a------ c:\windows\system32\nvapps.xml
2009-04-06 02:57 . 2009-04-06 02:57 86,791 --ah----- c:\windows\MEMORY.DMP
2009-04-06 02:56 . 2009-04-07 00:02 <DIR> d-------- c:\windows\nview
2009-04-06 02:56 . 2009-04-06 02:57 <DIR> d-------- c:\windows\NV3852320.TMP
2009-04-06 02:56 . 2009-03-27 10:03 453,152 --a------ c:\windows\system32\nvudisp.exe
2009-04-06 02:56 . 2009-03-27 10:03 19,054 --a------ c:\windows\system32\nvdisp.nvu
2009-04-06 02:52 . 2009-04-06 02:53 <DIR> d-------- c:\programme\Winamp
2009-04-06 02:52 . 2009-04-06 02:53 <DIR> d-------- c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\Winamp
2009-04-06 02:48 . 2004-08-03 22:41 1,309,184 --------- c:\windows\system32\drivers\mtlstrm.sys
2009-04-06 02:47 . 2004-08-04 00:38 701,952 --------- c:\windows\system32\drivers\ati2mtag.sys
2009-04-06 02:35 . 2008-06-14 19:32 273,024 --------- c:\windows\system32\drivers\bthport.sys
2009-04-06 02:35 . 2008-06-14 19:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-04-06 02:34 . 2009-04-07 15:39 <DIR> d-------- c:\windows\aod
2009-04-06 02:34 . 2009-04-06 02:34 <DIR> d-------- c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\ICQ
2009-04-06 02:34 . 2008-12-12 19:01 3,088,896 -----c--- c:\windows\system32\dllcache\mshtml.dll
2009-04-06 02:34 . 2008-10-16 03:00 1,499,136 -----c--- c:\windows\system32\dllcache\shdocvw.dll
2009-04-06 02:34 . 2008-10-16 03:00 671,744 -----c--- c:\windows\system32\dllcache\wininet.dll
2009-04-06 02:34 . 2008-10-16 03:00 620,544 -----c--- c:\windows\system32\dllcache\urlmon.dll
2009-04-06 02:33 . 2009-04-08 22:38 <DIR> d-------- c:\programme\ICQ
2009-04-06 02:32 . 2008-08-14 15:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-04-06 02:32 . 2008-08-14 15:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-04-06 02:32 . 2008-08-14 15:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-04-06 02:32 . 2008-08-14 15:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-04-06 02:31 . 2008-05-08 16:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-04-06 02:30 . 2008-04-11 21:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-04-06 02:30 . 2008-10-24 13:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-04-06 02:30 . 2008-10-15 18:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-04-06 02:30 . 2008-12-11 12:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-04-06 02:29 . 2007-08-10 20:44 26,488 --a------ c:\windows\system32\spupdsvc.exe
2009-04-06 02:02 . 2009-04-06 02:02 0 --a------ c:\windows\nsreg.dat
2009-04-06 01:53 . 2009-04-06 01:53 <DIR> d-------- c:\programme\NVIDIA Corporation
2009-04-06 01:53 . 2009-04-08 12:57 <DIR> d--h----- c:\programme\InstallShield Installation Information

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-06 22:03 90,112 ----a-w c:\windows\DUMP5822.tmp
2009-04-05 20:27 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2009-04-05 19:04 --------- d-----w c:\programme\microsoft frontpage
2009-04-05 19:03 --------- d-----w c:\programme\Online-Dienste
2009-04-05 19:02 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1764864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-04-29 344064]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2007-10-10 118272]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-11-17 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-11-17 86016]
"Mirabilis ICQ"="c:\progra~1\ICQ\ICQNet.exe" [2003-10-14 112712]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-05-11 200069]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 109424]
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-03-20 287664]
"razer"="c:\programme\Razer\Copperhead\razerhid.exe" [2005-10-08 155648]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
"nwiz"="nwiz.exe" [2009-03-27 c:\windows\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoUpdate Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AutoUpdate Monitor.lnk
backup=c:\windows\pss\AutoUpdate Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Sophos AutoUpdate Service"=2 (0x2)
"SAVService"=2 (0x2)
"SAVAdminService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Programme\\ICQ\\Icq.exe"=
"d:\\Spiele\\Tactical Ops\\System\\TacticalOps.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Winamp\\winampa.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\bin\\nTrayFw.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"f:\\Programme\\Image-Line\\FL Studio 8\\FL.exe"=
"c:\\WINDOWS\\system32\\nwiz.exe"=
"c:\\Programme\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe"=
"c:\\Programme\\TuneUp Utilities 2009\\ProcessManager.exe"=
"c:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\ISUSPM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\wuauclt.exe"=
"c:\\WINDOWS\\system32\\KB905474\\wgasetup.exe"=
"c:\\Programme\\Razer\\Copperhead\\razerofa.exe"=

R1 SAVOnAccess Control;SAVOnAccess Control;c:\windows\system32\drivers\savonaccesscontrol.sys [2009-04-08 80128]
R1 SAVOnAccess Filter;SAVOnAccess Filter;c:\windows\system32\drivers\savonaccessfilter.sys [2009-04-08 24064]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-04-08 604416]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [2009-04-07 33792]
R3 Razerlow;Razer Copperhead Driver;c:\windows\system32\drivers\Razerlow.sys [2009-04-08 19020]
S4 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe [2006-10-04 147456]
S4 SAVService;Sophos Anti-Virus;c:\programme\Sophos\Sophos Anti-Virus\SavService.exe [2006-10-04 86016]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - DAC970NT

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-04-08 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-03-20 15:17]

2009-04-08 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-03-10 22:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.klamm.de/?id=244863
uInternet Settings,ProxyOverride = *.local
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
FF - ProfilePath - c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\s16whaf2.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.klamm.de/?id=244863
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-08 22:38:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(736)
c:\windows\system32\nvappfilter.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\programme\Razer\Copperhead\razertra.exe
c:\programme\Razer\Copperhead\razerofa.exe
c:\windows\system32\winmine.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-08 22:42:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-08 20:41:59

Vor Suchlauf: 12 Verzeichnis(se), 18.227.167.232 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 18,161,864,704 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

293 --- E O F --- 2009-04-08 11:48:28

Zwischendrin spuckte er ein paar Fehlermeldungen aus mit der Überschrifft Windows Laufwerk nicht bereit.

Zitat:

Zwischendrin spuckte er ein paar Fehlermeldungen aus mit der Überschrifft Windows Laufwerk nicht bereit.

Einfach gar nicht ignorieren. :)

Ich bin hier gerade mit Myrtille, meiner Heldin, am Beraten ob eine Bereinigung Sinn macht. Du hast vermutlich das hier: ThreatExpert Report: W32.Sality.AE, W32/Sality, Virus:Win32/Sality.AM

Er hat einige Systemdateien verhunzt und Unmengen an Regeinträgen erzeugt. Das zu Säubern dauert mindestens 3 Tage. Eine Neuinstallation max. einen Tag. Es ist jetzt deine Entscheidung, wie es weitergeht.

ciao, andreas

Neuinstalation, -.- man was könnt ich ko***, lieber nicht...
was müsste man denn bei der Säuberung machen?
Am besten soweit das Sophos wieder funzt und das evtl etwas bereinigen kann..

Solange ich das CF-Script zusammenbastel, kannst du schon mal scannen.

1.) Deinstalliere:

TuneUp Utilities
Bonjour

2.) CureIT Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

3.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

die cureit page ruckelt wie sau, es ist unmöglich die .exe dort zu laden :(

und der activescan aktualisiert und aktualisiert usw. und steht immernoch auf 0% wie lange aktualisiert der denn??!

wie soll ich bonjour deinstallieren? das wird doch von Photoshop mit installiert aber wofür das ist hab ich keine ahnung

ich kann die drweb-cureit.exe nicht downloaden, die Seite braucht zulange habs auch schon mit dem IE probiert. Geht stattdessen auch die DrWeb-500-win.exe die man auf der Page laden kann?
Der ActiveScan steht seit knapp 2 Stunden auf Aktualisieren mit 0%...
EDIT:
Aktualisierung wurde aufgrund eines Fehler abgebrochen habe die Aktualisierung neugestartet.

Sorry für den Doppelpost aber ich konnte meinen alten Beitrag nicht editieren

1.) Deinstalliere Spybot.

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Driver::

IPFILTERDRIVER

TuneUp.ProgramStatisticsSvc
 

NetSvC::

UxTuneUp
 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=-

"MSMSGS"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WinampAgent"=-

"Mirabilis ICQ"=-

"Adobe Reader Speed Launcher"=-

"ISUSPM"=-

"MSConfig"=-

"SoundMan"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"=-

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"=-

"DisableRegistryTools"=-

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=-

"UpdatesDisableNotify"=-

"AntiVirusOverride"=-

"FirewallOverride"=-

"UacDisableNotify"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-

"c:\\Programme\\TuneUp Utilities 2009\\ProcessManager.exe"=-

"c:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\ISUSPM.exe" =-

[-HKEY_CURRENT_USER\Software\Jan-Hendrik914]
 

File::

c:\windows\Tasks\1-Klick-Wartung.job

c:\windows\Tasks\WGASetup.job

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

3.) Kontrolliere die Dateigröße folgender Datei:

Code:

c:\windows\system32\dllhost.exe

4.) Statt Dr.Web lade diese Datei: File-Upload.net - ToeffToeff.exe

ciao, andreas