Virus Alert eingefangen

#1 Hallo

ICh habe heute den VIRUS ALERT eingefangen!!!


Leider kann ich nur mehr im Abgesicherten Modus Arbeiten! Sobald der PC normal startet geht nichts mehr! Hintergrundbild ohne alle Zeichen kommt und es geht nicht mehr weiter!!

Bitte um hilfe wie ich den VIRUS ALERT im abgesicherten Modus wegbekomme!!!

Danke

letztes LOGfile malwarebytes das ich noch im abgesicherten Modus machen konnte hänge ich an

MALWARE:

Malwarebytes' Anti-Malware 1.23
Datenbank Version: 995
Windows 5.1.2600 Service Pack 3

21:32:52 26.07.2008
Malware LOG

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 42011
Laufzeit: 1 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\qoMcDSKE.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\byXRhIyX.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1edcd714-d415-4641-aa72-c8188ad13ebf} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1edcd714-d415-4641-aa72-c8188ad13ebf} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{39dc821c-fe03-415f-8f47-b50ada5d7d1a} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39dc821c-fe03-415f-8f47-b50ada5d7d1a} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxrhiyx (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{39dc821c-fe03-415f-8f47-b50ada5d7d1a} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomcdske -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomcdske -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\qoMcDSKE.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\EKSDcMoq.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\EKSDcMoq.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\byXRhIyX.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\Wincj54.sys (Rootkit.Agent) -> No action taken.


__________
Das Ultimative Allroundboard
http://www.guenther-mitterer.at/index.php

#2 Hallo mitterer14
-> No action taken,- Hast Du etwa vergessen die Funde auch zu löschen???
Fange aber erstmal mit CCleaner an um Deine Temporären Dateien und Ordner zu säubern.
...-und was soll die datfind.bat im Anhang ???

#3 nein habe alles nach ANleitung gemacht aber ändert sich nichts! sobald ich im noirmalen Modus starte hängt er sich nach dem WILLKOMMEN auf und zeigt nur mehr das Hintergrungbild alleine!
__________
Das Ultimative Allroundboard
http://www.guenther-mitterer.at/index.php

#4 @ mitterer14
Ist denn wenigstens der Mauszeiger noch da, und kommt die Taskleiste hoch, wenn Du mit der Maus an den unteren Rand des Bildschirmes gehst??
Versuche über die Tastatur ins Startmenü zu kommen! (Taste mit dem Windows[Fenster]symbol).

#5 JA aber ich kann nichts anklicken im normalen modus!
Taskleiste kommt nach ca. 5 min. und der start button aber sobald ich was anklicke hängt er

LAsse jetzt gerade malwarebytes und bit defende online durchlaufen im abgesicherten modus!
HAbe es mit Comofix auch versucht aber sobald er neu startet im normalmodus kommt der compofix und bleibt wieder hängen dann! Verdammter mist! Kann nicht formatieren ist der Fa. Laptop und alle Daten darauf und Software

Bitte um Hilfe
__________
Das Ultimative Allroundboard
http://www.guenther-mitterer.at/index.php

#6 Also Malwarebytes hast Du schon durchlaufen lassen (hast auch diesmal alles gelöscht,damit in Deinem Log "Quarantined and deleted successfully" steht)
Wenn er 5 Min für die Startleiste braucht, dann versuch mal ob Du Hijackthis Executable starten kannst, und dieser eben mal dementsprechend mehr Zeit zum ausführen/aufbauen lassen.
Nimm die alte Version 1.99.-die neue 2-er Executable braucht schon bei meinem PC fast 'ne halbe Ewigkeit wegen der Rückfrage!Das kannst Du Dir jetzt gar nicht leisten!(Und wenn Hijackthis.exe nicht akzeptiert wird, dann nenne sie zu Hijackthis.com um-und dann doppelclicken)
http://www.win-tipps-tweaks.de/forum/downloads-16.html
Wie gesagt, veruche allen Tools mal mehr Zeit zum arbeiten /aufbauen zu lassen.Ziel ist es bei Dir erstmal mit irgend einem Tool im Normalmodus aufzuräumen, damit Du mal 'nen log rüberreichen kannst.

#7 Ja aber leider kann ich im normalen modus weder was Installieren noch starten!

Das ist ja mein Problem!

Es muss was geben wie ich es im Abgesicherten Modus erledigen kann das ich im normalen Modus arbeiten kann

Malwarebytes fertig: LOG: (aber im abgesicherten Modus)

Datenbank Version: 995
Windows 5.1.2600 Service Pack 3

21:32:52 26.07.2008
Malware LOG

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 42011
Laufzeit: 1 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\qoMcDSKE.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\byXRhIyX.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1edcd714-d415-4641-aa72-c8188ad13ebf} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1edcd714-d415-4641-aa72-c8188ad13ebf} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{39dc821c-fe03-415f-8f47-b50ada5d7d1a} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39dc821c-fe03-415f-8f47-b50ada5d7d1a} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxrhiyx (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{39dc821c-fe03-415f-8f47-b50ada5d7d1a} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomcdske -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomcdske -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\qoMcDSKE.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\EKSDcMoq.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\EKSDcMoq.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\byXRhIyX.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\Wincj54.sys (Rootkit.Agent) -> No action taken.


Hijack LOG:

Logfile of HijackThis v1.99.1
Scan saved at 09:16, on 2008-07-27
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox 3 Beta 5\firefox.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Private Folder 1.0\ShellHelper.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\CF10283.exe /c C:\ComboFix\Combobatch.bat
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\RunOnce: [combofix] C:\WINDOWS\system32\CF10283.exe /c C:\ComboFix\Combobatch.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe"
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O4 - Global Startup: SnagIt 8.lnk = C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1212222620750
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
__________
Das Ultimative Allroundboard
http://www.guenther-mitterer.at/index.php

#8 ...Ich verstehe nicht, warum bei Dir im Malwarebytes immer und immer wieder
"-> No action taken" steht, --->das hat nach einer Löschung dort zu stehen:--->"Quarantined and deleted successfully" Das Angezeigte(Angehakte) mußt Du auch Löschen, das macht das Programm nicht von selbst !!!!
Der Hijackthis Log ist der nun aus dem Normalmodus???

#9 JA habe jetzt 2 mal auf AUSWAHL Entfernen geklickt und es waren alle engehakt????

Edit: NEIN, Wie gesagt im normal Modus geht null!!
__________
Das Ultimative Allroundboard
http://www.guenther-mitterer.at/index.php

#10 Und wie sieht das letzte Malwarebytes-Log aus !!!

#11 Malwarebytes' Anti-Malware 1.23
Datenbank Version: 995
Windows 5.1.2600 Service Pack 3

09:14:36 2008-07-27
mbam-log-7-27-2008 (09-14-36).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 196230
Laufzeit: 1 hour(s), 49 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{39dc821c-fe03-415f-8f47-b50ada5d7d1a} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39dc821c-fe03-415f-8f47-b50ada5d7d1a} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{39dc821c-fe03-415f-8f47-b50ada5d7d1a} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Günther Mitterer\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Günther Mitterer\Desktop\Microsoft Office\Outlook.Tools.v3.10.0.German.Incl.Keymaker-ACME\ot_kg.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Günther Mitterer\Eigene Dateien\Photoshop\Adobe Photoshop CS3 v10.0 Extended\KeyGen\ps_extendend_keygen_zwt.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Günther Mitterer\Eigene Dateien\PHP.Designer.2007.Professional.v5.4\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\qoMcDSKE.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\Wincj54.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6678BE31-6AA3-4E28-81FE-3560CCFDAE0F}\RP171\A0045587.dll (Trojan.Vundo) -> Quarantined and deleted successfully.



NACH ERNEUTEM DURCHLAUF:

Malwarebytes' Anti-Malware 1.23
Datenbank Version: 997
Windows 5.1.2600 Service Pack 3

09:33:47 2008-07-27
mbam-log-7-27-2008 (09-33-47).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 32237
Laufzeit: 2 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________
Das Ultimative Allroundboard
http://www.guenther-mitterer.at/index.php

#12 ...und nach dieser (positiven) Aktion geht immer noch kein Normalmodus??

#13 Moment bitte! Ich versuche es jetzt mal im normalen zu starten!

Gleich wieder da

Edit: Ich kann zwar jetzt im normalen Modus starten aber taskleiste auch da aber sobald ich etwas anklicke hängt er sich auf!

#was nun??
__________
Das Ultimative Allroundboard
http://www.guenther-mitterer.at/index.php

#14 Versuche irgendwie das Hijackthis auf den Desktop oder irgendwo wo Du hinkommst zu platzieren und im Normalmodus zu starten.Nochmal:-Nenne es um wenn es Zicken macht in XyProgramm.com.Weiterhin lasse den PC Zeit und wenn es paar Minuten dauert, bis das Hijackthis Fenster aufgeht, nicht gleich nach paar Sekunden denken, dass da gar nichts mehr kommt.Wir brauchen das Log um zu sehen ob noch irgendwelche Schadware mit startet.Und wenn Du Malwarebytes im Normalmodus nicht Installieren kannst dann nenne dessen Setup-exe auch in setup.com um (weiß zwar nicht, ob es da Probleme bei der Installation gibt,-aber probier es und wir wissen mehr).

#15 So Virus Alert ist weg!!

Aber jetzt hab ich meine Adminrechte verloren?? XP!

Wenn ich etwas installieren möchte geht es nicht??
__________
Das Ultimative Allroundboard
http://www.guenther-mitterer.at/index.php