Windows Firewall startet nicht. Malware????

Hallo

Seit ca 2 Wochen startet meine Windows Firewall nichtmehr (Windows 7 Home Premium) und sie lässt sich auch nicht manuell über die Systemeinstellungen starten. Wenn ich sie in der Systemsteuerung aktivieren will bekomme ich den Fehlercode 0x80070422 und manchmal 0x6d9. Nun war ich bisher nicht ganz untätig und habe schon etwas das Internet durchforstet und bin zu der Einsicht gelangt das das wohl noch Überbleibsel des BKA Trojaners sind den ich mir wegen einer nicht aktualisierten Java Version vor einer Weile auf den PC geladen habe. Ich dachte zwar ich hätte ihn erfolgreich entfernt, scheinbar stellt sich das aber als falsch heraus. Eben habe ich auch ein Suchlauf mit Malwarebytes durchlaufen lassen (natürlich aktualisiert) mit folgendem Ergebniss.

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.26.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Thraxx :: THRAXX-PC [Administrator]

26.10.2012 12:18:41
mbam-log-2012-10-26 (14-13-07).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 545876
Laufzeit: 1 Stunde(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Users\Thraxx\AppData\Local\Temp\svchost.exe (Trojan.Agent.Gen) -> 4868 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|load (PUM.UserWLoad) -> Daten: C:\Users\Thraxx\AppData\Local\Temp\urlsnmvaspr29641.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Thraxx\AppData\Local\Temp\svchost.exe (Trojan.Agent.Gen) -> Keine Aktion durchgeführt.

(Ende)

Nun habe ich das Problem lösen lassen und ich habe nach einem Neustart im Temp ordner auch nichtmehr diese Verdächtige svchost.exe gefunden, wurde also erfolgreich gelöscht. Nun funktioniert allerdings die Firewall immernoch nicht und ich bekomme dennoch diesen Fehlercode. Hat jemand Tips für mich oder bin ich mit dem BKA trojaner gar auf der Falschen Spur? Zur Zeit lasse ich Malewarebytes erneut durchlaufen um zu checken ob er nichts mehr findet. Ich werde das Ergebniss dann wiederum hier posten. Zum Glück verwende ich weder Onlinebanking noch andere kritische Dienste mit diesem PC, das schlimmste was passieren könnte wäre also das ich Teil eines Botnetzes bin oder meine Freizeit-Email gehackt wird. Dennoch ist es ärgerlich. Danke im Vorraus und ich bin auf eure Tipps gespannt.

Valen

 

So zweiter Suchlauf ist durch. Die infizierten Datein haben sich von 3 auf 1 verringert, diese scheint aber ziemlich hartnäckig zu sein. Ich poste mal das Ergeniss.

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.26.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Thraxx :: THRAXX-PC [Administrator]

26.10.2012 14:17:05
mbam-log-2012-10-26 (15-24-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 544908
Laufzeit: 1 Stunde(n), 4 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Thraxx\AppData\Local\Temp\svchost.exe (Trojan.Agent.Gen) -> Keine Aktion durchgeführt.

(Ende)


Ich bin mir 100% sicher das diese svchost.exe nach dem Neustart aus dem Ordner gelöscht war. Wie kommt sie da wieder hin? Bin für alles offen. Hilft es sie im abgesicherten Modus zu löschen oder muss ich sie irgendwo aus der Registry löschen?

Valen

 

Na rate doch mal! Es gibt noch weitere, aber unentdeckte Malware-Prozesse und Dateien und die ersetzen die gelöschte.

Dein infizierter PC muss sofort vom Netz und komplett neu aufgesetzt werden.

Es gibt keine Möglichkeit, ein infiziertes System zu "reparieren" bzw. einzelne, zufällig erkannte Malwaredateien zu löschen. Das ist alles Pfusch.

Lies dich schlau.