Taskmanager wird immer wieder deaktiviert

Kaos · 10.04.2009, 02:08

Seltsam, ich bin mir nicht sicher, wie lange es dauern kann, aber solange kann ich es mir auch nicht vorstellen.

Suche mal in dem Ordner Qoobox nach der letzten Logdatei (Also die mit dem letzten Zeitstempel).

Kann sein das Combofix die cfscript ausgeführt hat, aber die Logfile nicht fertig bekommen hat.

Kaos · 10.04.2009, 02:16

Also in der cfscript Datei steht es auch so drin, dass ICQ und Soundman entfernt werden. Kannst du später wieder installieren, wenn die Bereinigung fertig ist. Ich denke mal das wird dir dann john.doe noch sagen. Mach also morgen mit dem weiter, was er dir sagt.

Du könntest schonmal Combofix normal laufen lassen und die Logfile hier reinstellen, damit er zumindest sehen kann, was sich soweit geändert hat.

Also keine Sorge wegen dem Sound und ICQ, das lässt sich wieder richten : )

So, nun wird es aber Zeit für mich. Bekomme morgen noch Besuch.

mfg, Kaos und noch eine angenehme Nacht. zzZZZzzz....

m00p · 10.04.2009, 02:16

hier ist einmal CFScript_used

Code:

ATTFilter

KILLALL::

Driver::
IPFILTERDRIVER
TuneUp.ProgramStatisticsSvc

NetSvC::
UxTuneUp

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
"MSMSGS"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"=-
"Mirabilis ICQ"=-
"Adobe Reader Speed Launcher"=-
"ISUSPM"=-
"MSConfig"=-
"SoundMan"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"=-
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=-
"DisableRegistryTools"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=-
"UpdatesDisableNotify"=-
"AntiVirusOverride"=-
"FirewallOverride"=-
"UacDisableNotify"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-
"c:\\Programme\\TuneUp Utilities 2009\\ProcessManager.exe"=-
"c:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\ISUSPM.exe" =-
[-HKEY_CURRENT_USER\Software\Jan-Hendrik914]

File::
c:\windows\Tasks\1-Klick-Wartung.job
c:\windows\Tasks\WGASetup.job

und combofix5.txt

Code:

ATTFilter

ComboFix 09-04-04.01 - Jan-Hendrik 2009-04-08 22:34:07.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.2047.1687 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Jan-Hendrik\Desktop\ComboFix.exe
AV: Sophos Anti-Virus *On-access scanning enabled* (Outdated)
FW: NVIDIA Firewall *disabled*
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\INSTALL.LOG
H:\Autorun.inf
I:\autorun.inf
I:\mkisw.pif

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DAC970NT
-------\Service_dac970nt


(((((((((((((((((((((((   Dateien erstellt von 2009-03-08 bis 2009-04-08  ))))))))))))))))))))))))))))))
.

2009-04-08 21:38 . 2009-04-08 21:38	<DIR>	d--------	c:\programme\Trend Micro
2009-04-08 17:11 . 2009-04-08 17:11	<DIR>	d--------	c:\programme\Lavasoft
2009-04-08 17:10 . 2009-04-08 22:14	<DIR>	d--------	c:\programme\CCleaner
2009-04-08 13:48 . 2009-04-08 13:48	<DIR>	d--------	c:\windows\system32\KB905474
2009-04-08 13:48 . 2009-04-08 13:48	<DIR>	d--------	c:\programme\MSXML 4.0
2009-04-08 13:48 . 2009-03-10 22:26	1,436,544	--a------	c:\windows\system32\KB905474\wganotifypackageinner.exe
2009-04-08 13:48 . 2009-03-10 22:18	524,680	--a------	c:\windows\system32\KB905474\wgasetup.exe
2009-04-08 13:48 . 2009-02-09 18:51	15,772	--a------	c:\windows\system32\KB905474\wga_eula.txt
2009-04-08 13:10 . 2009-04-08 13:10	<DIR>	d--h-----	c:\windows\system32\GroupPolicy
2009-04-08 12:57 . 2009-04-08 12:57	<DIR>	d--------	c:\programme\Razer
2009-04-08 12:57 . 2001-01-04 10:12	162,900	---------	c:\windows\system32\drivers\USBICP.sys
2009-04-08 12:57 . 2005-07-22 15:01	69,632	--a------	c:\windows\system32\razer.cpl
2009-04-08 12:57 . 2005-08-12 10:11	19,020	--a------	c:\windows\system32\drivers\Razerlow.sys
2009-04-08 12:26 . 2009-04-08 12:26	<DIR>	d--------	c:\windows\system32\de-de
2009-04-08 12:26 . 2009-04-08 12:26	<DIR>	d--------	c:\windows\system32\de
2009-04-08 12:26 . 2009-04-08 12:26	<DIR>	d--------	c:\windows\system32\bits
2009-04-08 12:26 . 2009-04-08 12:26	<DIR>	d--------	c:\windows\l2schemas
2009-04-08 12:25 . 2009-04-08 12:25	<DIR>	d--------	c:\windows\ServicePackFiles
2009-04-08 00:56 . 2009-04-08 17:12	<DIR>	d--------	c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\Lavasoft
2009-04-08 00:24 . 2009-04-08 00:24	<DIR>	d--------	c:\programme\TuneUp Utilities 2009
2009-04-08 00:24 . 2009-04-08 00:24	<DIR>	d--------	c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\TuneUp Software
2009-04-08 00:24 . 2009-04-08 00:24	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-04-08 00:24 . 2009-04-08 00:24	<DIR>	d--hs----	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-04-08 00:24 . 2009-04-08 00:24	604,416	--a------	c:\windows\system32\TUProgSt.exe
2009-04-08 00:24 . 2009-04-08 00:24	360,704	--a------	c:\windows\system32\TuneUpDefragService.exe
2009-04-08 00:24 . 2009-03-20 15:01	28,416	--a------	c:\windows\system32\uxtuneup.dll
2009-04-08 00:15 . 2009-04-08 00:15	<DIR>	d--------	c:\programme\Sophos
2009-04-08 00:15 . 2009-04-08 00:15	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Cisco Systems
2009-04-08 00:15 . 2009-04-08 00:15	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos
2009-04-08 00:15 . 2006-05-08 11:00	15,872	--a------	c:\windows\system32\SophosBootTasks.exe
2009-04-08 00:12 . 2009-04-08 00:12	<DIR>	d--------	C:\savxpsa
2009-04-08 00:12 . 2006-01-05 16:43	80,128	--a------	c:\windows\system32\drivers\savonaccesscontrol.sys
2009-04-08 00:12 . 2006-01-05 16:43	24,064	--a------	c:\windows\system32\drivers\savonaccessfilter.sys
2009-04-07 19:28 . 2009-04-07 19:28	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-04-07 18:00 . 2009-04-07 18:00	<DIR>	d--------	c:\programme\Bonjour
2009-04-07 17:56 . 2009-04-07 17:56	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-04-07 17:50 . 2009-04-08 00:17	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Adobe
2009-04-07 17:16 . 2009-04-07 17:16	<DIR>	d--------	c:\programme\FileZilla
2009-04-07 16:51 . 2002-07-08 00:14	1,294,336	--a------	c:\windows\system32\vorbis.acm
2009-04-07 16:51 . 2006-06-20 10:56	225,280	--a------	c:\windows\system32\rewire.dll
2009-04-07 16:50 . 2009-04-07 16:50	<DIR>	d--------	c:\programme\Outsim
2009-04-07 16:50 . 2009-04-07 16:51	<DIR>	d--------	c:\programme\Image-Line
2009-04-07 16:34 . 2009-04-07 16:34	<DIR>	d--------	c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\Steinberg
2009-04-07 16:29 . 2005-05-09 20:08	33,792	--a------	c:\windows\system32\drivers\cledx.sys
2009-04-07 16:24 . 2009-04-07 16:24	<DIR>	d--------	c:\programme\Steinberg
2009-04-07 16:24 . 2009-04-07 16:24	<DIR>	d--------	c:\programme\Pinnacle
2009-04-07 16:24 . 2004-07-12 16:27	487,936	--a------	c:\windows\system\Rmbe3260.dll
2009-04-07 16:24 . 2004-07-12 16:27	352,768	--a------	c:\windows\system\pngu3263.dll
2009-04-07 16:24 . 2004-07-12 16:27	273,408	--a------	c:\windows\system\Pncrt.dll
2009-04-07 16:24 . 2004-07-12 16:27	131,072	--a------	c:\windows\system\Pneng50.dll
2009-04-07 16:24 . 2004-07-12 16:27	130,560	--a------	c:\windows\system\Pnc3250.dll
2009-04-07 16:24 . 2004-07-12 16:27	87,040	--a------	c:\windows\system\Ra32sipr.dll
2009-04-07 16:24 . 2004-07-12 16:27	85,504	--a------	c:\windows\system\Encdnet.dll
2009-04-07 16:24 . 2004-07-12 16:27	81,920	--a------	c:\windows\system\Ra3214_4.dll
2009-04-07 16:24 . 2004-07-12 16:27	72,704	--a------	c:\windows\system\Ra3228_8.dll
2009-04-07 16:24 . 2004-07-12 16:27	61,952	--a------	c:\windows\system\Decdnet.dll
2009-04-07 16:24 . 2004-07-12 16:27	21,504	--a------	c:\windows\system\Ra32dnet.dll
2009-04-07 16:22 . 2009-04-07 16:22	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Pinnacle
2009-04-07 16:22 . 2003-08-01 05:28	147,425	--a------	c:\windows\system32\SYNSOACC-Aide.chm
2009-04-07 16:22 . 2003-05-27 00:29	120,468	--a------	c:\windows\system32\SYNSOACC-Hilfe.chm
2009-04-07 16:22 . 2003-05-27 00:29	114,279	--a------	c:\windows\system32\SYNSOACC-Help.chm
2009-04-07 16:19 . 2009-04-07 16:19	<DIR>	d--------	c:\programme\Realtek AC97
2009-04-07 15:42 . 2009-04-07 15:42	<DIR>	d--------	c:\programme\Lavalys
2009-04-07 00:24 . 2009-04-07 15:52	169	--a------	c:\windows\RtlRack.ini
2009-04-07 00:23 . 2009-04-07 00:23	<DIR>	d--------	c:\programme\Realtek Sound Manager
2009-04-07 00:23 . 2009-04-07 00:23	<DIR>	d--------	c:\programme\AvRack
2009-04-07 00:23 . 2006-11-17 05:40	18,804,736	--a------	c:\windows\system32\alsndmgr.cpl
2009-04-07 00:23 . 2006-12-08 15:20	10,528,768	--a------	c:\windows\system32\RTLCPL.exe
2009-04-07 00:23 . 2008-09-24 10:40	4,122,368	-ra------	c:\windows\system32\drivers\alcxwdm.sys
2009-04-07 00:23 . 2007-04-16 15:28	577,536	--a------	c:\windows\soundman.exe
2009-04-07 00:23 . 2006-07-31 11:19	315,392	--a------	c:\windows\alcupd.exe
2009-04-07 00:23 . 2006-07-31 11:27	217,088	--a------	c:\windows\Alcrmv.exe
2009-04-07 00:23 . 2006-10-18 02:53	147,456	--a------	c:\windows\system32\RtlCPAPI.dll
2009-04-07 00:23 . 2002-02-05 13:54	141,016	--a------	c:\windows\system32\alsndmgr.wav
2009-04-07 00:23 . 2006-08-01 15:02	49,152	--a------	c:\windows\system32\ChCfg.exe
2009-04-06 23:54 . 2009-04-07 16:29	<DIR>	d--------	c:\programme\Syncrosoft
2009-04-06 23:54 . 2005-02-01 04:34	700,416	--a------	c:\windows\system32\SYNSOACC.dll
2009-04-06 23:54 . 2004-05-11 00:58	147,456	--a------	c:\windows\system32\SynsoLChk.dll
2009-04-06 23:54 . 2002-11-25 17:36	45,056	--a------	c:\windows\system32\Synsopos.exe
2009-04-06 23:54 . 2001-04-09 14:03	17,784	--a------	c:\windows\system32\drivers\NSynas32.sys
2009-04-06 23:54 . 2002-11-25 14:46	16,896	--a------	c:\windows\system32\drivers\SynasUSB.sys
2009-04-06 15:41 . 2009-04-06 15:41	552	--a------	c:\windows\system32\d3d8caps.dat
2009-04-06 15:29 . 2009-04-06 23:37	<DIR>	d--------	c:\windows\NV40044016.TMP
2009-04-06 15:29 . 2009-04-06 15:29	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\InstallShield
2009-04-06 15:27 . 2006-03-20 17:33	73,728	--a------	c:\windows\system32\ISUSPM.cpl
2009-04-06 15:26 . 2009-04-06 15:33	<DIR>	d--------	C:\NFSC
2009-04-06 15:22 . 2009-03-27 10:03	215,465	--a------	c:\windows\system32\nvapps.nvb
2009-04-06 15:19 . 2009-04-08 16:59	664	--a------	c:\windows\system32\d3d9caps.dat
2009-04-06 15:15 . 2002-11-02 09:53	57,344	--a------	c:\windows\system32\WNASPINT.DLL
2009-04-06 03:40 . 2009-04-06 03:40	<DIR>	d--------	c:\windows\system32\QuickTime
2009-04-06 03:40 . 2009-04-06 15:09	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Macromedia
2009-04-06 03:02 . 2009-04-06 03:02	13,646	--a------	c:\windows\system32\wpa.bak
2009-04-06 03:01 . 2009-04-06 03:01	<DIR>	dr-------	c:\dokumente und einstellungen\LocalService\Favoriten
2009-04-06 02:57 . 2006-11-17 11:29	88,691	--a------	c:\windows\system32\nvapps.xml
2009-04-06 02:57 . 2009-04-06 02:57	86,791	--ah-----	c:\windows\MEMORY.DMP
2009-04-06 02:56 . 2009-04-07 00:02	<DIR>	d--------	c:\windows\nview
2009-04-06 02:56 . 2009-04-06 02:57	<DIR>	d--------	c:\windows\NV3852320.TMP
2009-04-06 02:56 . 2009-03-27 10:03	453,152	--a------	c:\windows\system32\nvudisp.exe
2009-04-06 02:56 . 2009-03-27 10:03	19,054	--a------	c:\windows\system32\nvdisp.nvu
2009-04-06 02:52 . 2009-04-06 02:53	<DIR>	d--------	c:\programme\Winamp
2009-04-06 02:52 . 2009-04-06 02:53	<DIR>	d--------	c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\Winamp
2009-04-06 02:48 . 2004-08-03 22:41	1,309,184	---------	c:\windows\system32\drivers\mtlstrm.sys
2009-04-06 02:47 . 2004-08-04 00:38	701,952	---------	c:\windows\system32\drivers\ati2mtag.sys
2009-04-06 02:35 . 2008-06-14 19:32	273,024	---------	c:\windows\system32\drivers\bthport.sys
2009-04-06 02:35 . 2008-06-14 19:32	273,024	-----c---	c:\windows\system32\dllcache\bthport.sys
2009-04-06 02:34 . 2009-04-07 15:39	<DIR>	d--------	c:\windows\aod
2009-04-06 02:34 . 2009-04-06 02:34	<DIR>	d--------	c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\ICQ
2009-04-06 02:34 . 2008-12-12 19:01	3,088,896	-----c---	c:\windows\system32\dllcache\mshtml.dll
2009-04-06 02:34 . 2008-10-16 03:00	1,499,136	-----c---	c:\windows\system32\dllcache\shdocvw.dll
2009-04-06 02:34 . 2008-10-16 03:00	671,744	-----c---	c:\windows\system32\dllcache\wininet.dll
2009-04-06 02:34 . 2008-10-16 03:00	620,544	-----c---	c:\windows\system32\dllcache\urlmon.dll
2009-04-06 02:33 . 2009-04-08 22:38	<DIR>	d--------	c:\programme\ICQ
2009-04-06 02:32 . 2008-08-14 15:19	2,191,488	-----c---	c:\windows\system32\dllcache\ntoskrnl.exe
2009-04-06 02:32 . 2008-08-14 15:19	2,147,840	-----c---	c:\windows\system32\dllcache\ntkrnlmp.exe
2009-04-06 02:32 . 2008-08-14 15:19	2,068,352	-----c---	c:\windows\system32\dllcache\ntkrnlpa.exe
2009-04-06 02:32 . 2008-08-14 15:19	2,026,496	-----c---	c:\windows\system32\dllcache\ntkrpamp.exe
2009-04-06 02:31 . 2008-05-08 16:02	203,136	-----c---	c:\windows\system32\dllcache\rmcast.sys
2009-04-06 02:30 . 2008-04-11 21:04	691,712	-----c---	c:\windows\system32\dllcache\inetcomm.dll
2009-04-06 02:30 . 2008-10-24 13:21	455,296	-----c---	c:\windows\system32\dllcache\mrxsmb.sys
2009-04-06 02:30 . 2008-10-15 18:35	337,408	-----c---	c:\windows\system32\dllcache\netapi32.dll
2009-04-06 02:30 . 2008-12-11 12:57	333,952	-----c---	c:\windows\system32\dllcache\srv.sys
2009-04-06 02:29 . 2007-08-10 20:44	26,488	--a------	c:\windows\system32\spupdsvc.exe
2009-04-06 02:02 . 2009-04-06 02:02	0	--a------	c:\windows\nsreg.dat
2009-04-06 01:53 . 2009-04-06 01:53	<DIR>	d--------	c:\programme\NVIDIA Corporation
2009-04-06 01:53 . 2009-04-08 12:57	<DIR>	d--h-----	c:\programme\InstallShield Installation Information

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-06 22:03	90,112	----a-w	c:\windows\DUMP5822.tmp
2009-04-05 20:27	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2009-04-05 19:04	---------	d-----w	c:\programme\microsoft frontpage
2009-04-05 19:03	---------	d-----w	c:\programme\Online-Dienste
2009-04-05 19:02	---------	d-----w	c:\programme\Gemeinsame Dateien\Dienste
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1764864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-04-29 344064]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2007-10-10 118272]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-11-17 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-11-17 86016]
"Mirabilis ICQ"="c:\progra~1\ICQ\ICQNet.exe" [2003-10-14 112712]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-05-11 200069]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 109424]
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-03-20 287664]
"razer"="c:\programme\Razer\Copperhead\razerhid.exe" [2005-10-08 155648]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
"nwiz"="nwiz.exe" [2009-03-27 c:\windows\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoUpdate Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AutoUpdate Monitor.lnk
backup=c:\windows\pss\AutoUpdate Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Sophos AutoUpdate Service"=2 (0x2)
"SAVService"=2 (0x2)
"SAVAdminService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Programme\\ICQ\\Icq.exe"=
"d:\\Spiele\\Tactical Ops\\System\\TacticalOps.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Winamp\\winampa.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\bin\\nTrayFw.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"f:\\Programme\\Image-Line\\FL Studio 8\\FL.exe"=
"c:\\WINDOWS\\system32\\nwiz.exe"=
"c:\\Programme\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe"=
"c:\\Programme\\TuneUp Utilities 2009\\ProcessManager.exe"=
"c:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\ISUSPM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\wuauclt.exe"=
"c:\\WINDOWS\\system32\\KB905474\\wgasetup.exe"=
"c:\\Programme\\Razer\\Copperhead\\razerofa.exe"=

R1 SAVOnAccess Control;SAVOnAccess Control;c:\windows\system32\drivers\savonaccesscontrol.sys [2009-04-08 80128]
R1 SAVOnAccess Filter;SAVOnAccess Filter;c:\windows\system32\drivers\savonaccessfilter.sys [2009-04-08 24064]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-04-08 604416]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [2009-04-07 33792]
R3 Razerlow;Razer Copperhead Driver;c:\windows\system32\drivers\Razerlow.sys [2009-04-08 19020]
S4 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe [2006-10-04 147456]
S4 SAVService;Sophos Anti-Virus;c:\programme\Sophos\Sophos Anti-Virus\SavService.exe [2006-10-04 86016]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - DAC970NT

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-04-08 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-03-20 15:17]

2009-04-08 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-03-10 22:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.klamm.de/?id=244863
uInternet Settings,ProxyOverride = *.local
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
FF - ProfilePath - c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\s16whaf2.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.klamm.de/?id=244863
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-08 22:38:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(736)
c:\windows\system32\nvappfilter.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\programme\Razer\Copperhead\razertra.exe
c:\programme\Razer\Copperhead\razerofa.exe
c:\windows\system32\winmine.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-08 22:42:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-04-08 20:41:59

Vor Suchlauf: 12 Verzeichnis(se), 18.227.167.232 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 18,161,864,704 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

293	--- E O F ---	2009-04-08 11:48:28

sind jeweils die letzten

danke schonmal an Kaos

EDIT: Hier der normale ComboFix Scanlauf

http://nopaste.biz/72143

Kaos · 10.04.2009, 02:19

Nicht ganz. Der ist von 22:34:07 ; )

Müsste dann die Logfile mit der 2 oder ohne Nummer sein.

Aber das die Used dabei ist, ist schon mal gut

john.doe · 10.04.2009, 12:37

Lade dir das hier herunter, sollte das nicht funktionieren, dann versuche das hier.

1.) Lege auf dem Desktop einen Ordner Salitifix an.
2.) Entpacke die Dateien in diesen Ordner.
3.) Doppelklicke auf rmsality.exe
4.) Klicke nach dem Scan auf Save log und speichere es auf dem Desktop.
5.) Lade die Datei VirusRemover.log bei einem Filehoster (z.B. www.materialordner.de) hoch und poste den Link.

ciao, andreas

m00p · 10.04.2009, 15:18

http://ul.to/x7isj4 <-- bitteschön

john.doe · 10.04.2009, 15:21

Dann lade dir noch ein neues ComboFix, scanne und poste das Log.

Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas

john.doe · 10.04.2009, 16:25

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

D:\Download\Keygen(EMBRACE)\nero8x.exe
D:\Download\win_hack_pro\KeyGen.exe
D:\Download\win_hack_pro\keyfinder.exe
D:\Download\win_hack_pro\Microsoft Genuine Advantage Diagnostic Tool.exe
D:\Download\win_hack_pro\wga-fix.exe
D:\Download\ut2004-winpatch3369.exe
D:\Spiele\VegasTycoon\VEGAS\Crack\casino.exe
D:\Spiele\VegasTycoon\VEGAS\Crack\VegasEuroPatch1_11.exe
D:\Download\Sony.Sound.Forge.Audio.Studio.9.0.Build.85.Winall.Cracked-NoPE\setup\audiostudio90.exe
D:\Programme\HIPHOP6D2\CRACK\HipHop6.exe
D:\Spiele\20061105_1312\Crack\Scarface.exe
F:\Download\Crack.exe
F:\Download\StarCraft_Loader.exe
F:\Download\Wowwal_Launcher.exe
H:\backup\Cracks\Gta SA\GTA_SA.EXE
H:\backup\PhotoshopcS3\adbePScs3extended\Keygen.exe

Markiere jeweils eine Zeile, kopiere sie und füge sie bei Virustotal ein. Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren.

ciao, andreas

Taskmanager wird immer wieder deaktiviert

Plagegeister aller Art und deren Bekämpfung: Taskmanager wird immer wieder deaktiviert