Hi,

lief dann Combofix durch?
Poste ds Log...

Unhide
Lade Dir unhide von folgender Adresse runter und dann per Doppelklick als Admin ausführen:
http://filepony.de/download-unhide/
Es werden alle versteckten Dateien sichtbar gemacht, ggf. welche die versteckt sein sollten wieder unsichtbar machen (Auswählen im Explorer->Eingenschaften->versteckt)

Win7:

• Mit der Maus rechtsklick auf den desktop

• “Anzeige” auswählen

• Auswählen von "Desktopsymbole anzeigen"

chris

Ich habe Combofix durchlaufen lassen, aber kurz vor Schluss hat es abgebrochen..

das Problem wurde durch Unhide nicht gelöst..

Hi,

das ist dann wohl eine neue Infektion...

Probieren wir erstnochmal das hier:
->Start - Regedit, zum Key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
navigieren und dort den Eintrag (falls vorhanden) NoDesktop löschen...

sonst:

MAM updaten und FULL-Scann, TDSS-Killer laufen lasse und ein neues OTL-Log...

chris

Hallo,

mich hat es mit diesem Shit auch erwischt...
Außerdem irgendwas ähnliches von Max++
OTL, OTS, HiJack liefen schon mal...
Kaspersky läuft permanent, habe da auch was entfernt ohne genauer nachzugucken.

Bereits folgende Ungereimtheiten entfernt:
tcudriver.exe
svchoost.exe & csrss.exe aus benutzer\name\appdata\roaming
consrv.dll aus C:\windows\system32\ entfernt (nicht in Registrierung eingetragen gewesen:

Ich hatte "Windows 7 Firewall Control" von sphinx-soft.com drauf,
als das nicht mehr lief wurde ich darauf aufmerksam.

Windows Firewall-Dienst tot, "Fix it" von MS brachte keine besserung.
In der Systemsteuerung kann ich auch nicht mehr mit der Firewall einstellen:
Fehler: 0x80070424

Bitte Ideen und Vorschläge!
Im Anhang nochmal die aktuelle OTL-Log.

Hei Chris

wie komme ich auf "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"?

Bei Win 7 auf "Start" und dann unten bei "DOS-Befehle / Suchtext" Regedit eingeben und dahin durchklicken!
Bei mir leider fail. An dieser Position nichts ungewöhnliches zu finden...

Hi,

@Franklin84, bitte neuen Thread eröffnen...
und schaue Dir das hier mal näher an ;o)
O20 - HKCU Winlogon: Shell - (C:\Users\Frank\AppData\Local\445358e4\X) -C:\Users\Frank\AppData\Local\445358e4\X ()
[2012.01.15 12:39:53 | 000,000,000 | -HSD | C] -- C:\Users\Frank\AppData\Local\445358e4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring" = 1
-> Antimalewarebytes und TDSS-Killer...

Scan mit SystemLook

@DanyRibi
Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop.
http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jps...SystemLook.exe

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.

• Vista-User/Win7 mit Rechtsklick und als Administrator starten.

• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code: Alles auswählenAufklappen

ATTFilter

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] /s
         

• Klicke nun auf den Button Look, um den Scan zu starten.

Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

chris

@Chris4You:

Ja, sorry war hier lange nicht unterwegs. Nur eben wenns gewaltig "brennt" XD.

Mal noch ne kurze Frage:
* Ist Kaspersky 2012 so schlecht das sich de rRechner infizieren kann?
Weil beim Systemscan vor 4 Tagen war alles i.O. bis auf paar wenige gezippte Spieletrainer.

* Kann man in so einem Fall eine Systemwiederherstellung machen?
Bringt das was? Oder reißt man damit mehr ein?

* TDDS hat nichts gefunden. Antimalewarebytes und ESET Online Scanner haben kräftig aufgeräumt.

* "445358e4" mußte ich trotzdem manuell löschen, da Antimalwarebytes nach einem Neustart das trotzdem nicht gemacht hatte...

* Schwierige, aber dennoch erfolgreiche Reparatur Der Windows Firewall!
komplette Registry-Keys der Firewall waren gelöscht!
-> Fehler 0x80070424
bfe.reg & firewall.reg aus dem sevenforums.com nach der Anleitung von User "Balon"

* mediashifting.com meldet sich nun auch nicht mehr im Firefox...
einen Redirect bei der Such konnte ich nicht feststellen!


Trotzdem vielen Dank!

Mfg FRank

SystemLook 30.07.11 by jpshortstuff
Log created at 18:47 on 20/01/2012 by Administrator
Administrator - Elevation successful

========== reg ==========

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"= 0x0000000091 (145)
"NoInternetOpenWith"= 0x0000000001 (1)
"NoRecentDocsNetHood"= 0x0000000001 (1)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
(No values found)


[]
Hive unrecognized.

-= EOF =-