"pc wird heruntergefahren" [GELÖST]

jack@n!ght

hallo,
ich weiß wirklich nicht mehr weiter...

das ganze problem fing vor etwa einer woche an: während ich im netz war, öffnete sich plötzlich am rechten unteren rand eine information eines programmes mit dem namen "security tool". da ich dieses jedoch nie installiert habe, habe ich mir erstmal nichts weiter gedacht, und auf "schließen" gedrückt. mit der zeit tauchte es immer wieder auf. wie ich später von google erfahren habe, war dieses programmm nen virus. konnte es dann eigtl. auch problemlos entfernen...
nun weiß ich nicht, ob diese vorgeschichte etwas mit meinem aktuellen problem zu tun hat. während ich am vergangenen freitag im icq war, erschien ein fenster, dass der compuer in einer minute heruntergefahren wird. mittlerweile kann ich es mit "shutdown -a" stoppen. doch ich bekomme es einfach nicht mehr weg. egal ob mit kaspersky, noch mit spyware doctor, keines dieser programme konnte das problem lösen. dazu tritt noch ein negativer nebeneffekt auf. wenn ich spyware doctor im autostart habe, habe ich auf einmal eine auslagerungsdatei von knapp 800! mb, normal sind bei mir 200-300mb. entferne ich das programm wieder aus dem autostart, habe ich erneut meine 300 mb.

so bin ich auf eure seite gekommen
speziell auf diesen thread

könnt ihr mir hierbei weiterhelfen? bin echt langsam am verzweifeln :kA:

Malwarebytes' Anti-Malware

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3089
Windows 5.1.2600 Service Pack 2

02.11.2009 21:52:05
mbam-log-2009-11-02 (21-52-05).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 159268
Laufzeit: 1 hour(s), 2 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RList (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\MyID (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\51225318 (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:16:47, on 02.11.2009

End of file - 7741 bytes

Werbepost

Hallo!

Wenn du gerade an deiner Website arbeitest oder dein aktuelles Hosting überdenkst: Wir betreiben mit NetzLiving eine Hosting-Plattform, die speziell auf Performance, Sicherheit und einfache Verwaltung ausgelegt ist.

✔️ Schnelle Ladezeiten (optimiert für WordPress, WoltLab & Co.)
✔️ Deutsche Server & DSGVO-konform
✔️ Persönlicher Support (kein 0815-Ticket-System)

Mehr erfahren

Wenn du Fragen hast, kannst du dich gerne jederzeit an @Maximilian Rupp wenden

Hinweis:

WhiteKnight

Hallo

Deinstalliere Spyware Doctor / bringt sowieso nichts.

Dann Phase II abarbeiten und die Reporte posten.
http://www.paules-pc-forum.de/forum/viren-fo…-erstellen.html

WhiteKnight

Hallo

In dieser Reihenfolge ausführen:

Windows Firewall kannst du deaktivieren wenn KIS voll aktiv ist.

Eine üble Wurm Infektion liegt hier vor.

Windows Taste + R drücken

Kopiere rein: Combofix /U
- klicke "OK"

(oder, wenn es nicht funktioniert: C:\QooBox löschen)

AVENGER
laden und so ausführen:

kopiere so rein:

Files to delete:
C:\WINDOWS\system32\zjyuiepnslk
C:\WINDOWS\system32\MSWINSCK.OCX

Setze ein Häkchen bei:
- Scan for Rootkits
und bei
- Automatically disable A N Y rootkits found

Klicke nun auf Execute
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
nach dem Neustart wird ein Log vom AVENGER erscheinen - poste es hier

C:\avenger\backup.zip <-- nun direkt löschen
Papierkorb leeren oder besser CCleaner ausführen!

SDFix anwenden im abgesicherten Modus (bei Neustart F8 drücken)

Nach Neustart poste den Report
Entferne auf C:\SDFix\ backups -->papierkorb leeren

Dann
Gmer
anwenden und posten

jack@n!ght

ok, hier sind die 3 reports:

Avenger

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Tue Nov 03 19:27:04 2009

19:27:04: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\zjyuiepnslk" deleted successfully.
File "C:\WINDOWS\system32\MSWINSCK.OCX" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

SDFX

SDFix: Version 1.240
Run by the_royal on 03.11.2009 at 20:23

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\185.tmp - Deleted

Could Not Remove C:\WINDOWS\rundll16.exe
Could Not Remove C:\WINDOWS\rundl132.exe

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-11-03 20:33:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="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"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Programme\\FlashFXP\\FlashFXP.exe"="C:\\Programme\\FlashFXP\\FlashFXP.exe:*:Enabled:FlashFXP v3"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :

C:\WINDOWS\rundll16.exe Found
C:\WINDOWS\rundl132.exe Found

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 3 Aug 2004 93,184 A.SH. --- "C:\Programme\Internet Explorer\iexplore.exe"
Wed 4 Aug 2004 1,667,584 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"
Tue 3 Aug 2004 4,639 A.SH. --- "C:\Programme\Windows Media Player\mplayer2.exe"
Fri 28 Jan 2005 73,728 A.SH. --- "C:\Programme\Windows Media Player\wmplayer.exe"
Tue 24 Oct 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Fri 23 Oct 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av1.tmp"
Mon 2 Nov 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av10.tmp"
Tue 3 Nov 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av11.tmp"
Fri 23 Oct 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av2.tmp"
Tue 27 Oct 2009 16,700,626 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av3.tmp"
Wed 28 Oct 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av4.tmp"
Thu 29 Oct 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av5.tmp"
Fri 30 Oct 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av6.tmp"
Fri 30 Oct 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av7.tmp"
Fri 30 Oct 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av8.tmp"
Fri 30 Oct 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av9.tmp"
Fri 30 Oct 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\avA.tmp"
Fri 30 Oct 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\avB.tmp"
Fri 30 Oct 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\avC.tmp"
Mon 2 Nov 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\avD.tmp"
Mon 2 Nov 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\avE.tmp"
Mon 2 Nov 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\avF.tmp"

Finished!

Gmer

GMER 1.0.15.14972 - GMER - Rootkit Detector and Remover
Rootkit scan 2009-11-03 21:49:52
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwAdjustPrivilegesToken [0xA8FA336E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwClose [0xA8FA3A86]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwConnectPort [0xA8FA460C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateEvent [0xA8FA4B40]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateFile [0xA8FA3D78]
SSDT \SystemRoot\system32\drivers\sbaphd.sys (Sunbelt ActiveProtection hook driver/Sunbelt Software) ZwCreateKey [0xBADF44D0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateMutant [0xA8FA4A18]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateNamedPipeFile [0xA8FA1D0A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreatePort [0xA8FA48D4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateSection [0xA8FA3102]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateSemaphore [0xA8FA4C72]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xA8FA640E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateThread [0xA8FA3886]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateWaitablePort [0xA8FA4976]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDeleteKey [0xA8FA2A20]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDeleteValueKey [0xA8FA2CF8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDeviceIoControlFile [0xA8FA421C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDuplicateObject [0xA8FA6980]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwEnumerateKey [0xA8FA2E3A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwEnumerateValueKey [0xA8FA2EE4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwFsControlFile [0xA8FA4016]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwLoadDriver [0xA8FA5EA6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwLoadKey [0xA8FA243C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwLoadKey2 [0xA8FA244E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwNotifyChangeKey [0xA8FA3030]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenEvent [0xA8FA4BE2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenFile [0xA8FA3B08]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenKey [0xA8FA2604]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenMutant [0xA8FA4AB0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenProcess [0xA8FA356E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenSection [0xA8FA6438]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenSemaphore [0xA8FA4D14]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenThread [0xA8FA3492]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryKey [0xA8FA2F8E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryMultipleValueKey [0xA8FA2BB6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryValueKey [0xA8FA28BC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueueApcThread [0xA8FA6128]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwRenameKey [0xA8FA2B34]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwReplaceKey [0xA8FA20C2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwReplyPort [0xA8FA509E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwReplyWaitReceivePort [0xA8FA4F64]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwRequestWaitReplyPort [0xA8FA5C30]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwRestoreKey [0xA8FA2224]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwResumeThread [0xA8FA6860]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSaveKey [0xA8FA1EC4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSecureConnectPort [0xA8FA4312]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetContextThread [0xA8FA3984]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetInformationToken [0xA8FA55F2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetSecurityObject [0xA8FA5FA0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetSystemInformation [0xA8FA64C2]
SSDT \SystemRoot\system32\drivers\sbaphd.sys (Sunbelt ActiveProtection hook driver/Sunbelt Software) ZwSetValueKey [0xBADF4520]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSuspendProcess [0xA8FA65A6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSuspendThread [0xA8FA66D2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSystemDebugControl [0xA8FA5DD2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwTerminateProcess [0xA8FA36EA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwTerminateThread [0xA8FA363C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwWriteVirtualMemory [0xA8FA37C8]

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804E9E14 5 Bytes JMP A8F98424 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text ntkrnlpa.exe!IoIsOperationSynchronous 804EE54E 5 Bytes JMP A8F987DE \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text ntkrnlpa.exe!ZwCallbackReturn + 23F4 805010F8 16 Bytes [02, 31, FA, A8, 72, 4C, FA, ...]
.text ntkrnlpa.exe!ZwCallbackReturn + 24B0 805011B4 12 Bytes [A6, 5E, FA, A8, 3C, 24, FA, ...]
.text ntkrnlpa.exe!ZwCallbackReturn + 262C 80501330 16 Bytes [34, 2B, FA, A8, C2, 20, FA, ...]
.text ntkrnlpa.exe!ZwCallbackReturn + 2720 80501424 12 Bytes [A6, 65, FA, A8, D2, 66, FA, ...]
.text ntkrnlpa.exe!ZwCallbackReturn + 2730 80501434 8 Bytes JMP 3CA8FA36
? C:\DOKUME~1\THE_RO~1\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[1944] C:\WINDOWS\system32\ntdll.dll time/date stamp mismatch;
? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[1944] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[1944] USER32.dll!VRipOutput + FFFA5010 77D12A78 4 Bytes [70, 11, 32, 6D]
? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[2516] C:\WINDOWS\system32\ntdll.dll time/date stamp mismatch;
? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[2516] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[2516] USER32.dll!VRipOutput + FFFA5010 77D12A78 4 Bytes [70, 11, 32, 6D]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [BA0C5820] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [BA0C5820] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION 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

---- EOF - GMER 1.0.15 ----

WhiteKnight

Hallo

lade FindIt_Nt-2k-XP
Doppelklick find.bat --> output.txt - poste den Text

jack@n!ght

FindIt Nt 2k XP

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

Find.bat is running from: D:\the_royal\DOWNLOADS\internet\Find It NT-2K-XP

------- System Files in System32 Directory -------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D406-408A

Verzeichnis von C:\WINDOWS\System32

03.11.2009 13:53 23 edacded0.dat
03.11.2009 12:55 <DIR> dllcache
08.07.2008 18:33 5.120 Thumbs.db
07.10.2006 11:55 <DIR> Microsoft
16.08.2006 15:53 175.104 CoreAAC.ax
22.02.2005 17:55 81.920 aac_parser.ax
13.02.2005 00:00 51.712 RLSpeexDec.ax
13.02.2005 00:00 67.584 RLTheoraDec.ax
13.02.2005 00:00 186.880 RLOgg.ax
06.02.2005 00:00 92.672 RLVorbisDec.ax
18.01.2005 00:26 179.200 DiracSplitter.ax
9 Datei(en) 840.215 Bytes
2 Verzeichnis(se), 6.070.644.736 Bytes frei

------- Hidden Files in System32 Directory -------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D406-408A

Verzeichnis von C:\WINDOWS\System32

03.11.2009 13:53 23 edacded0.dat
03.11.2009 12:55 <DIR> dllcache
16.07.2008 10:34 4.212 zllictbl.dat
08.07.2008 18:33 5.120 Thumbs.db
03.03.2008 19:05 452 ws344069.ocx
15.12.2006 13:51 <DIR> GroupPolicy
07.10.2006 11:47 488 WindowsLogon.manifest
07.10.2006 11:47 488 logonui.exe.manifest
07.10.2006 11:47 749 wuaucpl.cpl.manifest
07.10.2006 11:47 749 sapi.cpl.manifest
07.10.2006 11:47 749 cdplayer.exe.manifest
07.10.2006 11:47 749 nwc.cpl.manifest
07.10.2006 11:47 749 ncpa.cpl.manifest
16.08.2006 15:53 175.104 CoreAAC.ax
22.02.2005 17:55 81.920 aac_parser.ax
13.02.2005 00:00 67.584 RLTheoraDec.ax
13.02.2005 00:00 51.712 RLSpeexDec.ax
13.02.2005 00:00 186.880 RLOgg.ax
06.02.2005 00:00 92.672 RLVorbisDec.ax
18.01.2005 00:26 179.200 DiracSplitter.ax
18 Datei(en) 849.600 Bytes
2 Verzeichnis(se), 6.070.640.640 Bytes frei

------------ Files Named "Guard" ---------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D406-408A

Verzeichnis von C:\WINDOWS\System32

------ Temp Files in System32 Directory ------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D406-408A

Verzeichnis von C:\WINDOWS\System32

18.08.2001 13:00 2.951 CONFIG.TMP
1 Datei(en) 2.951 Bytes
0 Verzeichnis(se), 6.070.640.640 Bytes frei

------------------ User Agent ----------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

------------- Keys Under Notify -------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
@=""
"DLLName"="igfxdev.dll"
"Asynchronous"=dword:00000001
"Impersonate"=dword:00000001
"Unlock"="WinlogonUnlockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\klogon.dll"
"Logon"="WLEventStop"
"Startup"="WLEventStart"
"Lock"="WLEventStart"
"Unlock"="WLEventStop"
"Logoff"="WLEventStart"
@=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

------------- Locate.com Results -------------

C:\WINDOWS\SYSTEM32\
edacded0.dat Tue 3 Nov 2009 13:53:20 A.SH. 23 0,02 K

1 item found: 1 file, 0 directories.
Total of file sizes: 23 bytes 0,02 K

-------- Strings.exe Qoologic Results --------

--------- Strings.exe Aspack Results ---------

C:\WINDOWS\system32\d3dx9_28.dll: D3DXUVAtlasPack
C:\WINDOWS\system32\d3dx9_30.dll: D3DXUVAtlasPack
C:\WINDOWS\system32\ntdll.dll: .aspack
C:\WINDOWS\system32\d3dx9_28.dll: D3DXUVAtlasPack
C:\WINDOWS\system32\d3dx9_30.dll: D3DXUVAtlasPack
C:\WINDOWS\system32\ntdll.dll: .aspack

-------------- HKLM Run Key ----------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelZeroConfig"="\"C:\\Programme\\Intel\\Wireless\\bin\\ZCfgSvc.exe\""
"IntelWireless"="\"C:\\Programme\\Intel\\Wireless\\Bin\\ifrmewrk.exe\" /tf Intel PROSet/Wireless"
"EOUApp"="\"C:\\Programme\\Intel\\Wireless\\Bin\\EOUWiz.exe\""
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"epm-dm"="c:\\acer\\Empowering Technology\\ePower\\epm-dm.exe"
"Malwarebytes Anti-Malware (reboot)"="\"C:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe\" /runcleanupscript"
"avp"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 2010\\avp.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
@=""

WhiteKnight

Hallo

Bei Avenger - so reinkopieren: (ohne das Wort Code)

Code

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs


Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|zts2
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|load
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|rxzs
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|mhs2
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|wlzs


Files to delete: 
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.exe
c:\windows\logo1_.exe
c:\windows\logo_1.exe
c:\windows\VDLL.DLL


Folders to delete: 
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.exe
c:\windows\logo1_.exe
c:\windows\logo_1.exe
c:\windows\VDLL.DLL

Alles anzeigen

Klicke nun auf Execute
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
nach dem Neustart wird ein Log vom AVENGER erscheinen - poste es hier

C:\avenger\backup.zip <-- nun direkt löschen
Papierkorb leeren oder besser CCleaner ausführen!

Gehe in die Registry
Start - Ausführen - tippe: regedit
Ok drücken

Navigiere zu diesem Unterschlüssel:

HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW

Wenn vorhanden lösche im rechten Teilfenster diese Wert:
"auto" = "1"

Schließe nun den Registrierungseditor.

Start-ausführen- tippe: notepad
Entertaste
kopiere rein: (ohne das Wort Code)

Code

REGEDIT4


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

auf dem Desktop speichern als fix.reg, dann "fix.reg" doppelklicken --> und mit "ja"/"yes" der Registry beifügen. PC neustarten.

Lade dir nun
Dr.Web CureIt!
Boote nun in den abgesicherten Modus (bei Neustart F8 drücken), Starte das Programm,
lösche alle Funde (Move incurable)
Der Rechner muss neu gestartet werden. Dadurch werden alle Funde gelöscht.
PC Neustart Normalmodus
Klicke nun auf Start - Ausführen
folgenden Befehl einkopieren:
%USERPROFILE%\DoctorWeb\CureIt.log
Mit OK bestätigen
poste den Report

Erstelle und poste nun einen log v. http://www.paules-pc-forum.de/forum/4-pc-sic…-anleitung.html

jack@n!ght

mit avenger habe ich ein problem. die datei backup.zip ist nicht vorhanden. in c: kann ich jedoch eine datei mit dem namen "zip.exe" finden. ist sie das eventuell?
die textdatei von cureit! ist 15mb groß. ich glaub, die sprengt den rahmen hier...

avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: "C:\WINDOWS\rundll16.exe" is a folder, not a file!
Deletion of file "C:\WINDOWS\rundll16.exe" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

Error: "C:\WINDOWS\rundl132.exe" is a folder, not a file!
Deletion of file "C:\WINDOWS\rundl132.exe" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

Error: "c:\windows\logo1_.exe" is a folder, not a file!
Deletion of file "c:\windows\logo1_.exe" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

Error: "c:\windows\logo_1.exe" is a folder, not a file!
Deletion of file "c:\windows\logo_1.exe" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

Error: "c:\windows\VDLL.DLL" is a folder, not a file!
Deletion of file "c:\windows\VDLL.DLL" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

Folder "C:\WINDOWS\rundll16.exe" deleted successfully.
Folder "C:\WINDOWS\rundl132.exe" deleted successfully.
Folder "c:\windows\logo1_.exe" deleted successfully.
Folder "c:\windows\logo_1.exe" deleted successfully.
Folder "c:\windows\VDLL.DLL" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Error: could not delete registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|zts2"
Deletion of registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|zts2" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: could not delete registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|load"
Deletion of registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|load" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: could not delete registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|rxzs"
Deletion of registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|rxzs" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: could not delete registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|mhs2"
Deletion of registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|mhs2" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: could not delete registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|wlzs"
Deletion of registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|wlzs" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

WhiteKnight

Das war doch schon ganz erfolgreich.

Dann mal weiter wie beschrieben

jack@n!ght

Zitat von WhiteKnight;742324

Gehe in die RegistryStart - Ausführen - tippe: regeditOk drückenNavigiere zu diesem Unterschlüssel:HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWWWenn vorhanden lösche im rechten Teilfenster diese Wert:"auto" = "1"Schließe nun den Registrierungseditor.

war bei mir nicht vorhanden :kA:

Zitat von WhiteKnight;742324

Lade dir nun
Dr.Web CureIt!
Boote nun in den abgesicherten Modus (bei Neustart F8 drücken), Starte das Programm,
lösche alle Funde (Move incurable)
Der Rechner muss neu gestartet werden. Dadurch werden alle Funde gelöscht.
PC Neustart Normalmodus
Klicke nun auf Start - Ausführen
folgenden Befehl einkopieren:
%USERPROFILE%\DoctorWeb\CureIt.log
Mit OK bestätigen
poste den Report

Alles anzeigen

die textdatei ist 15mb groß. sprengt wohl den rahmen hier

Zitat von WhiteKnight;742324

Erstelle und poste nun einen log v. http://www.paules-pc-forum.de/forum/4-pc-sic…-anleitung.html

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:13, on 05.11.2009

WhiteKnight

Hallo

Nun lade und öffne dann das http://www.paules-pc-forum.de/forum/4-pc-sic…-anleitung.html -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" anklicken – PC nun neustarten

R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll

Sicherheitslücken nun schließen:

Installiere SP 3 + prüfe anschließend mit dem Internet Explorer 8 solange auf weitere Microsoft Update bis nach einem Neustart nichts mehr gefunden wird.
Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler

Installiere nun den IE 8, auch wenn du einen anderen Browser verwendest (Geduld das dauert etwas!)
Internet Explorer 8: Weltweite Websites

Die neuen Funktionen des IE 8 werden hier erklärt:
Internet Explorer 8: Funktionen

Wende Secunia an, behebe alle Funde
Secunia Personal Software Inspector

Setze um:
10 Empfehlungen zum sicheren surfen!

Berichte ob noch Probleme auftreten.

jack@n!ght

ich werde deine tipps in den nächsten tagen ausprobieren, WhiteKnight, danke

vorher habe ich noch 3 kleinere fragen:

1.) kaspersky informiert mich seit neustem, dass ein programm auf´s internet zugreifen möchte. das problem an der sache ist, dass ich überhaupt nicht sehen kann, um welches programm es sich handelt. hast du eventuell einem ratschlag, wo ich das einsehen kann?

[Blockierte Grafik: http://img201.imagevenue.com/loc1/th_25881_1_122_1lo.jpg]

2.) in c: avenger befinden sich noch diese dateien. sind diese unbedenklich, oder sollte ich sie besser löschen?

[Blockierte Grafik: http://img226.imagevenue.com/loc125/th_26612_2_122_125lo.jpg]

3.) die 3. frage schließt sich nahtlos an die 2. an. nachdem ich das letzte mal avenger ausgeführt hatte, wurde diese exe zu c: hinzugefügt. ist sie eher unbedenklich?

[Blockierte Grafik: http://img263.imagevenue.com/loc27/th_26372_3_122_27lo.jpg]

WhiteKnight

Hallo

Ist ja eine super Meldung von Kaspersky. Was ich nicht kenne drücke in NEIN. Merke ich das ein Programm was ich brauche plötzlich keine Internetverbindung mehr bekommt, dann ändere ich das auf beschränken.

Tipp: Großer Vorteil von Kaspersky 2010 ist z.B. das man die Browser nun in der Kaspersky eigenen Sandbox laufen lassen kann! Dazu deine Browser / Messenger / Email Programme bei Kaspersky Programmkontrolle eintragen!

Punkte 2 und 3 das ist unbedenklich.

jack@n!ght

ich habe gerade ein großes problem:
auf einmal kann ich keine einzige datei mehr öffnen (videos, musik). wenn ich eine datei öffnen möchte, erscheint folgender text:

[Blockierte Grafik: http://img212.imagevenue.com/loc141/th_43312_4_122_141lo.jpg]

ich habe eigtl. nichts verändert

edit:
ich habe einfach mal kasp. ausgeschaltet, und schon ging wieder alles... wie bekomme ich das in den griff?

hier noch 2 screens von kasp.

1.) stimmen diese einstellungen soweit?
[Blockierte Grafik: http://img229.imagevenue.com/loc188/th_45029_5_122_188lo.jpg]

2.) musik/ videos öffne ich zB mit dem "mplayer"
[Blockierte Grafik: http://img198.imagevenue.com/loc175/th_45382_6_122_175lo.jpg]

--> nun mein problem: ich bekomme dieses ausrufezeichen nicht behoben :kA:

Bassboy

Oha das hört sich ja echt dramatisch an. Hast du schonmal gerebootet?

jack@n!ght

hallo Bassboy,
lediglich musik&video-dateien funktionieren nicht. habe grad nochmal in kasp. geschaut:

[Blockierte Grafik: http://img228.imagevenue.com/loc342/th_47627_7_122_342lo.jpg]

hier kann man gut sehen, dass der mplayer "geblockt" wird... ich kann es jedoch nicht mehr aktivieren/ deaktivieren :kA:

stimmen diese einstellungen soweit?
[Blockierte Grafik: http://img229.imagevenue.com/loc188/th_45029_5_122_188lo.jpg]

WhiteKnight

Probiere mal den VLC Player ob damit alles läuft
VLC Download

(Der Download geht auch ohne Email Angabe)

jack@n!ght

jo, das hat geklappt, thx

habe sowohl den vlc-player, als auch den mplayer neu installiert... keine probleme mehr

werde mich jetzt wieder um den wurm kümmern...

WhiteKnight

Hallo

Alles erledigt? Läufts wieder gut?

Zitat von WhiteKnight;742546

Hallo
Nun lade und öffne dann das http://www.paules-pc-forum.de/forum/4-pc-sic…-anleitung.html -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" anklicken – PC nun neustarten
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
Sicherheitslücken nun schließen:
Installiere SP 3 + prüfe anschließend mit dem Internet Explorer 8 solange auf weitere Microsoft Update bis nach einem Neustart nichts mehr gefunden wird.
Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler
Installiere nun den IE 8, auch wenn du einen anderen Browser verwendest (Geduld das dauert etwas!)
Internet Explorer 8: Weltweite Websites
Die neuen Funktionen des IE 8 werden hier erklärt:
Internet Explorer 8: Funktionen
Wende Secunia an, behebe alle Funde
Secunia Personal Software Inspector
Setze um:
10 Empfehlungen zum sicheren surfen!
Berichte ob noch Probleme auftreten.

Alles anzeigen

Jetzt mitmachen!