Computerhilfen.de Logo
Forum
Tipps
News

virenentfernung: malwarebytes und avira haben keine chance

hallo,
habe gemerkt dass ich viren auf meinen pc hatte aber antivir premium hat es nicht gefunden. malwarebytes habe ich mir dann geholt und der hat bestimmte bösartige objekte entfernen können, aber bei 2 objekten kommt auch dieser nicht zurecht. hoffe ihr könnt mir helfen.
hier die logfile von malwarbytes und darunter hijackthis:
==============
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2770
Windows 5.1.2600 Service Pack 3

10.09.2009 13:37:39
Logfile mbam-log-2009-09-10 (13-37-28)

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 105356
Laufzeit: 3 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\System32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\System32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
==============

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32:42, on 10.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\Avira\AntiVir Desktop\sched.exe
I:\Programme\Avira\AntiVir Desktop\avguard.exe
I:\xampp\apache\bin\apache.exe
I:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
I:\WINDOWS\system32\drivers\CDAC11BA.EXE
I:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
I:\Programme\Google\Update\GoogleUpdate.exe
I:\xampp\mysql\bin\mysqld-nt.exe
I:\Programme\Google\Update\GoogleUpdate.exe
I:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
I:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
I:\xampp\apache\bin\apache.exe
I:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
I:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\Programme\Roxio\Digital Home 9\RoxioUpnpService9.exe
I:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
I:\Programme\Google\Update\GoogleUpdate.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
I:\PROGRA~1\Logitech\iTouch\iTouch.exe
I:\WINDOWS\RTHDCPL.EXE
I:\Programme\Avira\AntiVir Desktop\avgnt.exe
I:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
I:\Programme\Kartenlesegeraet\a.sign Client\acLauncher.exe
I:\WINDOWS\System32\rsvp.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Wacom_Tablet.exe
I:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
I:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
I:\WINDOWS\system32\Wacom_Tablet.exe
I:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - I:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nTrayFw] I:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] I:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] I:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [zBrowser Launcher] I:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] I:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "I:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RoxWatchTray] "I:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\K-Lite Codec Pack\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "I:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe_ID0ENQBO] I:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Update Service] I:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [ISUSPM] "I:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: a.sign Client.lnk = I:\Programme\Kartenlesegeraet\a.sign Client\acLauncher.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://I:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - I:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {3450032D-92DA-4033-8672-4E0A2E7C4A7C} (SliderControl Control) - http://music.imbc.com/Player/OCX/SliderControl.ocx
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupControlXP Class) - https://webvpn.fh-kaernten.at/dana-cached/setup/JuniperSetupSP1.cab
O16 - DPF: {EBAA4551-7704-4625-8C7B-628B1C6CB1C7} (P3EinsSet Class) - http://music.imbc.com/Player/OCX/p3edinst.cab
O16 - DPF: {FCF77DBD-0AE7-4EA8-B9EF-A733F6879B4E} (KardToolX Control) - http://www.a-trust.at/html/CardCheck/KardToolX.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E7A48DF-FB07-4C1E-A4FE-5AD64916A715}: NameServer = 89.16.192.41,81.223.224.12
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - I:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - I:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - I:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - I:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - I:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - I:\xampp\apache\bin\apache.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - I:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - I:\WINDOWS\
O23 - Service: C-DillaCdaC11BA - Macrovision - I:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - I:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - I:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - I:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - I:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - I:\Programme\iPod\bin\iPodService.exe
O23 - Service: mysql - Unknown owner - I:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - I:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - I:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - I:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - I:\Programme\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - I:\Programme\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - I:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - I:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - I:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - I:\WINDOWS\system32\Wacom_Tablet.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - I:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - I:\WINDOWS\

--
End of file - 12315 bytes


 



Antworten zu virenentfernung: malwarebytes und avira haben keine chance:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo,

wende zunächst bitte Combofix an:

http://virus-protect.org/artikel/tools/combofix.html

Logfile hier posten.

obwohl ich avira deaktiviere und auch die firewall schreibt combofix das avira rennt und lässt mich nicht weiter. versuche das schon einige male nun. soll ich avira deinstallieren, dass ich da weiter komme ?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

 ??? ??? Scan-Methode: Quick-Scan  ??? ???

Immer erst UPDATE , dann Vollscan .

Ansonsten :
Generell ...
sollte man seine Daten nach Befall sichern ,und den PC neu aufsetzen (Formatieren & Installieren) .....


Weiter mit ersguterjunge !!

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Naja hierbei, wird es wohl egal sein ob Quick oder Komplett Scan, an der Lage wird sich soweit noch nix ändern. 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

@alex nein Avira nicht deinstallieren.

Lasse bitte Gmer scannen.

http://gmer.net

Klicke unten Scan.

Poste das Logfile anschließend hier.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Naja hierbei, wird es wohl egal sein ob Quick oder Komplett Scan, an der Lage wird sich soweit noch nix ändern. 

für alle Mitleser ... denn : schlechte Beispiele usw .....

*reinhüpf*
HCK

du hast keine Ahnung was Du da von dir gibst.
Ein Quickscan reicht aus, und wie EGJ erwähnt, würde auch ein Vollscan die Automatischen Updates so wie den Background Intelligent Transfer Service nicht reparieren da die Ursache nicht behoben wurde.

Schlechte Beispiele sind Deine Posts.
Nimms nicht persönlich ;)

*raushüpf*

ok habe es nun mit gmer versucht, hier die log.
noch zur anmerkung, habe zuerst einen quickscan mit mb gemacht, nach dem neustart einen

vollscann. dass mit update 2 mal wiederholt und immer sind die beiden dateien dabeigewesen und

konnten nicht entfernt werden.

hier nun die logfile von gmer (einige einträge sind schon rot hinterlegt)

GMER 1.0.15.15077 [edqjntjf.exe] - http://www.gmer.net
Rootkit scan 2009-09-10 14:50:22
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

Code            8A711110                                                                       

                                           ZwEnumerateKey
Code            8A6DC110                                                                       

                                           ZwFlushInstructionCache
Code            8AD69896                                                                       

                                           ZwSaveKey
Code            8AD74206                                                                       

                                           ZwSaveKeyEx
Code            8ADEEA46                                                                       

                                           IofCallDriver
Code            8A77BD96                                                                       

                                           IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!IofCallDriver                                                     

                                           804EF1A6 5 Bytes  JMP 8ADEEA4B
.text           ntkrnlpa.exe!IofCompleteRequest                                                 

                                           804EF236 5 Bytes  JMP 8A77BD9B
PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                           

                                           805B6812 5 Bytes  JMP 8A6DC114
PAGE            ntkrnlpa.exe!ZwEnumerateKey                                                     

                                           80623FF0 4 Bytes  JMP 8A711114
PAGE            ntkrnlpa.exe!ZwSaveKey                                                         

                                           80625264 5 Bytes  JMP 8AD6989A
PAGE            ntkrnlpa.exe!ZwSaveKeyEx                                                       

                                           8062534A 5 Bytes  JMP 8AD7420A

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                         

                                           lkbdhlpr.sys (Keyboard Helper Driver/Logitech Inc.   

                 )
AttachedDevice  \FileSystem\Fastfat \Fat                                                       

                                           fltmgr.sys (Microsoft Filesystem Filter

Manager/Microsoft Corporation)
---- Processes - GMER 1.0.15 ----

Library         \\?\globalroot\systemroot\system32\ytasfwibaiqxns.dll (*** hidden *** ) @

I:\WINDOWS\Explorer.EXE [3220]                   0x10000000                                     

                         
Library         \\?\globalroot\systemroot\system32\ytasfwibaiqxns.dll (*** hidden *** ) @

I:\Programme\Mozilla Firefox\firefox.exe [3260]  0x10000000                                     

                         

---- Services - GMER 1.0.15 ----

Service         I:\WINDOWS\system32\drivers\ytasfwunckjmmn.sys (*** hidden *** )               

                                           [SYSTEM] ytasfwdqjmjtpq                             

                     <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq                           

                                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq@start                     

                                           1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq@type                     

                                           1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq@group                     

                                           file system
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq@imagepath                 

                                           \systemroot\system32\drivers\ytasfwunckjmmn.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq\main                     

                                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq\main@aid                 

                                           10146
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq\main@sid                 

                                           0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq\main@cmddelay             

                                           14400
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq\main\delete               

                                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq\main\injector             

                                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq\main\injector@*           

                                           ytasfwwsp8.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq\main\tasks               

                                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq\modules                   

                                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq\modules@ytasfwrk.sys     

                                           \systemroot\system32\drivers\ytasfwunckjmmn.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq\modules@ytasfwcmd.dll     

                                           \systemroot\system32\ytasfwrumylkkw.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq\modules@ytasfwlog.dat     

                                           \systemroot\system32\ytasfwfhmpaklx.dat
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq\modules@ytasfwwsp.dll     

                                           \systemroot\system32\ytasfwxlrxfadw.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq\modules@ytasfw.dat       

                                           \systemroot\system32\ytasfwjcytjiee.dat
Reg             HKLM\SYSTEM\CurrentControlSet\Services\ytasfwdqjmjtpq\modules@ytasfwwsp8.dll   

                                           \systemroot\system32\ytasfwibaiqxns.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq (not active ControlSet)       

                                           
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq@start                         

                                           1
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq@type                         

                                           1
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq@group                         

                                           file system
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq@imagepath                     

                                           \systemroot\system32\drivers\ytasfwunckjmmn.sys
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq\main (not active ControlSet) 

                                           
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq\main@aid                     

                                           10146
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq\main@sid                     

                                           0
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq\main@cmddelay                 

                                           14400
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq\main\delete (not active

ControlSet)                                     
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq\main\injector (not active

ControlSet)                                   
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq\main\injector@*               

                                           ytasfwwsp8.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq\main\tasks (not active

ControlSet)                                       
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq\modules (not active

ControlSet)                                         
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq\modules@ytasfwrk.sys         

                                           \systemroot\system32\drivers\ytasfwunckjmmn.sys
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq\modules@ytasfwcmd.dll         

                                           \systemroot\system32\ytasfwrumylkkw.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq\modules@ytasfwlog.dat         

                                           \systemroot\system32\ytasfwfhmpaklx.dat
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq\modules@ytasfwwsp.dll         

                                           \systemroot\system32\ytasfwxlrxfadw.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq\modules@ytasfw.dat           

                                           \systemroot\system32\ytasfwjcytjiee.dat
Reg             HKLM\SYSTEM\ControlSet002\Services\ytasfwdqjmjtpq\modules@ytasfwwsp8.dll       

                                           \systemroot\system32\ytasfwibaiqxns.dll
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs         

                                           
Reg             HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Windows@DeviceNotSelectedTimeout                                         15
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota

                                           10000
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler               

                                           yes
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk             

                                           
Reg             HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Windows@TransmissionRetryTimeout                                         90
Reg             HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Windows@USERProcessHandleQuota                                           

10000
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}

\InprocServer32                                         
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}

\InprocServer32@ThreadingModel                           Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}

\InprocServer32@                                         I:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}

\InprocServer32@cd042efbbd7f7af1647644e76e06692b         0xC8 0x28 0x51 0xAF ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}

\InprocServer32                                         
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}

\InprocServer32@ThreadingModel                           Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}

\InprocServer32@                                         I:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}

\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b         0x6A 0x9C 0xD6 0x61 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}

\InprocServer32                                         
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}

\InprocServer32@ThreadingModel                           Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}

\InprocServer32@                                         I:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}


========================
ende teil 1/2
 

teil 2/2:
============

\InprocServer32@2c81e34222e8052573023a60d06dd016         0x25 0xDA 0xEC 0x7E ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}

\InprocServer32                                         
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}

\InprocServer32@ThreadingModel                           Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}

\InprocServer32@                                         I:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}

\InprocServer32@2582ae41fb52324423be06337561aa48         0x3E 0x1E 0x9E 0xE0 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}

\InprocServer32                                         
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}

\InprocServer32@ThreadingModel                           Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}

\InprocServer32@                                         I:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}

\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472         0xF5 0x1D 0x4D 0x73 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}

\InprocServer32                                         
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}

\InprocServer32@ThreadingModel                           Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}

\InprocServer32@                                         I:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}

\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d         0xDF 0x20 0x58 0x62 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}

\InprocServer32                                         
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}

\InprocServer32@ThreadingModel                           Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}

\InprocServer32@                                         I:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}

\InprocServer32@4d370831d2c43cd13623e232fed27b7b         0x97 0x20 0x4E 0x9A ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version     

                                           
Reg             HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}

\Version@Version                                         0xA0 0x21 0x96 0xD0 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}

\InprocServer32                                         
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}

\InprocServer32@ThreadingModel                           Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}

\InprocServer32@                                         I:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}

\InprocServer32@1d68fe701cdea33e477eb204b76f993d         0x01 0x3A 0x48 0xFC ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}

\InprocServer32                                         
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}

\InprocServer32@ThreadingModel                           Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}

\InprocServer32@                                         I:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}

\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3         0x51 0xFA 0x6E 0x91 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}

\InprocServer32                                         
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}

\InprocServer32@ThreadingModel                           Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}

\InprocServer32@                                         I:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}

\InprocServer32@f5f62a6129303efb32fbe080bb27835b         0xB1 0xCD 0x45 0x5A ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}

\InprocServer32                                         
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}

\InprocServer32@ThreadingModel                           Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}

\InprocServer32@                                         I:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}

\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6         0x2A 0xB7 0xCC 0xB5 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}

\InprocServer32                                         
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}

\InprocServer32@ThreadingModel                           Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}

\InprocServer32@                                         I:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}

\InprocServer32@8a8aec57dd6508a385616fbc86791ec2         0x6C 0x43 0x2D 0x1E ...

---- EOF - GMER 1.0.15 ----

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ich melde mich heut Abend!
 

ok, danke für die hilfe. bei einem 2. druchgang des scanns hat sich der pc nun aufgehängt. beim booten ist egal ob ich im abgesicherten modus ausführe oder nicht, der rechner stürzt ab und beginn von vorne.
hoffe ich komme an einer formatierung noch vorbei.
 


« Windows XP: mein pc hängt sich auf beim hoch fahren Avira AntiVir Kindersicherung »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!