Paypal Acc. gehackt, Festplatte füllt sich,Trojaner(BHO) und Adware(Zwunzi)?

#1 Hallo!

Muss mal wieder nach Jahren auf euch zurück kommen.
Handelt sich dabei nicht um meinen eigenen Rechner.
Sitze gerade bei einem Freund der massive Probleme hat..
Er hat bei Studivz eine Nachricht bekommen, mit nem Linkhinweis zu einem Downloadportal/verteiler mit einer 'angeblichen' Präsentation in Form einer .exe-Datei.
Ungeschickterweise hat er das Teil auch noch geöffnet und jetzt den Salat.
Folgen sind ein gehackter Paypal-Account von dem das Guthaben an einen ominösen Herrn Simon Nagel und irgend einem Winn-los-Verein ausgezahlt wurde.
(telefonat mit paypal folgt morgen)
Des Weiteren hat sich die Festplatte rasch gefüllt, was ich durch einen fix einer Adware namens Zwunzi bei Hijack erstmal stoppen konnte.

Allgemein sind bei meinen bisherigen suchen die Adware Zwunzi und der Trojaner "BHO" aufgetaucht..

Dann mal die ganzen Log´s´..
Ich hoffe ihr könnt uns helfen und rat geben, ob eine Formatierung zu umgehen ist.


Malwarebytes:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3849
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

10.03.2010 22:49:23
mbam-log-2010-03-10 (22-49-23).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 136670
Laufzeit: 2 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 6
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zwunzi (Adware.Zwunzi) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Zwunzi (Adware.Zwunzi) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\zwunzi service (Adware.Zwunzi) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Zwunzi (Adware.Zwunzi) -> Quarantined and deleted successfully.
C:\Programme\Zwunzi (Adware.Zwunzi) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\extensions\{F270F1AF-34D6-41CB-A9F5-8200EF7DB41F} (Adware.Zwunzi) -> Delete on reboot.
C:\Programme\Mozilla Firefox\extensions\{F270F1AF-34D6-41CB-A9F5-8200EF7DB41F}\chrome (Adware.Zwunzi) -> Delete on reboot.
C:\Programme\Mozilla Firefox\extensions\{F270F1AF-34D6-41CB-A9F5-8200EF7DB41F}\defaults (Adware.Zwunzi) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\extensions\{F270F1AF-34D6-41CB-A9F5-8200EF7DB41F}\defaults\preferences (Adware.Zwunzi) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Zwunzi\zwunzi135.exe (Adware.Zwunzi) -> Quarantined and deleted successfully.
C:\Programme\Zwunzi\uninstall.exe (Adware.Zwunzi) -> Quarantined and deleted successfully.
C:\Programme\Zwunzi\zwunzi.exe (Adware.Zwunzi) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\extensions\{F270F1AF-34D6-41CB-A9F5-8200EF7DB41F}\chrome.manifest (Adware.Zwunzi) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\extensions\{F270F1AF-34D6-41CB-A9F5-8200EF7DB41F}\install.rdf (Adware.Zwunzi) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\extensions\{F270F1AF-34D6-41CB-A9F5-8200EF7DB41F}\chrome\zwunzi.jar (Adware.Zwunzi) -> Delete on reboot.
C:\Programme\Mozilla Firefox\extensions\{F270F1AF-34D6-41CB-A9F5-8200EF7DB41F}\defaults\preferences\prefs.js (Adware.Zwunzi) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.



---------------------------------------------------------------------



Was den Gmer Report angeht, siehts schlecht aus,

36wyugjy.exe hat ein Problem festgestellt und muss beendet werden, warum auch immer.
(BS ist windows Xp, also kein vista 32 bit)


---------------------------------------------------------------------



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:17:04, on 10.03.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Trend Micro\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 7262 bytes


-------------------------------------------------------------



Adobe Audition 3.0
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 9.1 - Deutsch
ASIO4ALL
Audio Recorder for FREE 2009 v12.6.1
Avira AntiVir Personal - Free Antivirus
Blitz2DDemo
Close Combat Invasion Normandy
DAEMON Tools Toolbar
Die Siedler III Gold Edition
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
EAX Unified
EVEREST Home Edition v2.20
Firebird SQL Server - MAGIX Edition
Free Metronome 1.1.0 r1
FreeRIP v3.09
GCH Guitar academy
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Guitar Pro 5.2
Guitar-Online Tools - Metronome, version 2.1
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix für Windows XP (KB935448)
ICQ Toolbar
ICQ6.5
IrfanView (remove only)
Java(TM) 6 Update 13
MAGIX Screenshare 4.3.6.1987 (D)
Malwarebytes' Anti-Malware
MATHPROF 4.0
Microsoft Office 97, Professional Edition
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.5.8)
MSXML 6.0 Parser
Nero 7 Essentials
neroxml
Numedia CD-DVD writing as non-admin user
NVIDIA Drivers
Phase 5 HTML-Editor
RealPlayer
Realtek High Definition Audio Driver
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921503)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB937894)
Sicherheitsupdate für Windows XP (KB938127)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB942615)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
SyncroSoft Emu (Remove only)
Syncrosofts Lizenz Kontrolle
TeamSpeak 2 RC2
Text-To-Speech-Runtime
Turbo Lister 2
Unreal Tournament 3 (LG)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
Update für Windows XP (KB942840)
VC80CRTRedist - 8.0.50727.762
VLC media player 1.0.1
Winamp
Windows Installer 3.1 (KB893803)
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)
WinRAR archiver
Wolfenstein
Wolfenstein - Enemy Territory
Wolfenstein(TM) 1.11 Patch
Xbox 360 Controller for Windows


----------------------------------------------------


Soweit so gut

Das war´s dann erstmal von meiner Seite, die nächsten Tage springt dann der besagte Freunde ein (Christian)


danke und gruß
/Paul

#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:
Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Kannst Du auf Deinem Computer alle Dateien und Datei-Endungen sehen? Falls nein, bitte diese Einstellungen in den Ordneroptionen vornehmen.


Schritt 2

Java aktualisieren

Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu.

Downloade nun die Offline-Version von Java (Java SE Runtime Environment (JRE) 6 Update 18) von SUN. Wenn Du auf Download geklickt hast, erscheint eine Seite, wo Du das Betriebssystem auswählen musst (also Windows) und ein Häkchen bei "I agree" setzen musst. Dann auf den Button "Continue" klicken. Dort die jre-6u18-windows-i586.exe downloaden und anschließend installieren, eventuell angebotene Toolbars nicht mitinstallieren.


Schritt 3

CD-Emulatoren mit DeFogger deaktivieren

Du hast CD-Emulatoren wie Alcohol, DaemonTools oder ähnliche auf diesem Computer installiert. Da diese Emulatoren mit Rootkit-Technik arbeiten, können sie die Fahndung nach bösartigen Rootkits verfälschen und erschweren. Aus diesem Grund bitte entweder das folgende Tool zum Deaktivieren laufen lassen oder die Software über Systemsteuerung => Software/Programme deinstallieren. Berichte mir, für welche Variante Du Dich entschieden hast. Die Deaktivierung können wir nach der Bereinigung rückgängig machen.

Lade DeFogger herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.
• Es öffnet sich das Programm-Fenster des Tools.
• Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
• Klicke Ja, um fortzufahren.
• Wenn die Nachricht 'Finished!' erscheint,
• klicke OK.
• DeFogger wird nun einen Reboot erfragen - klicke OK
• Poste mir das defogger_disable.log hier in den Thread.

Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird.


Schritt 4

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 5

Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

#3 Hallo,
erstmal vielen Dank für die Hilfe!

Hier die geforderten Files:

defogger_disable.log

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 12:23 on 11/03/2010 (Ch. Seitz)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
a347bus -> Disabled (Service running -> reboot required)
a347scsi -> Disabled (Service running -> reboot required)
Unable to read atapi.sys
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-


OTL





OTL logfile created on: 11.03.2010 12:27:12 - Run 1
OTL by OldTimer - Version 3.1.36.1 Folder = C:\Dokumente und Einstellungen\Ch. Seitz\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 76,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 91,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 9,77 Gb Total Space | 0,64 Gb Free Space | 6,59% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 223,11 Gb Total Space | 65,13 Gb Free Space | 29,19% Space Free | Partition Type: NTFS
Drive F: | 31,47 Gb Total Space | 2,81 Gb Free Space | 8,93% Space Free | Partition Type: FAT32
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: SEITZ
Current User Name: Ch. Seitz
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Dokumente und Einstellungen\Ch. Seitz\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Nero\Nero 7\InCD\NBHGui.exe (Nero AG)
PRC - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe (Nero AG)
PRC - C:\Programme\Nero\Nero 7\InCD\InCD.exe (Nero AG)
PRC - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
PRC - C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
PRC - C:\Programme\Gemeinsame Dateien\NMSAccessU.exe ()
PRC - C:\Programme\Syncrosoft\POS\H2O\cledx.exe (Team H2O)
PRC - C:\Programme\Microsoft Office\Office\FINDFAST.EXE (Microsoft Corporation)
PRC - C:\Programme\Microsoft Office\Office\OSA.EXE ()


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Dokumente und Einstellungen\Ch. Seitz\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
SRV - (InCDsrv) -- C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe (Nero AG)
SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG)
SRV - (LightScribeService) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
SRV - (NMSAccessU) -- C:\Programme\Gemeinsame Dateien\NMSAccessU.exe ()
SRV - (FirebirdServerMAGIXInstance) -- E:\Common\Database\bin\fbserver.exe (MAGIX®)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys (Duplex Secure Ltd.)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (hamachi) -- C:\WINDOWS\system32\drivers\hamachi.sys (LogMeIn, Inc.)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (InCDfs) -- C:\WINDOWS\system32\drivers\InCDfs.sys (Nero AG)
DRV - (incdrm) -- C:\WINDOWS\system32\drivers\InCDRm.sys (Nero AG)
DRV - (InCDPass) -- C:\WINDOWS\system32\drivers\InCDPass.sys (Nero AG)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)
DRV - (xnacc) -- C:\WINDOWS\system32\drivers\xnacc.sys (Microsoft Corporation)
DRV - (CLEDX) -- C:\WINDOWS\system32\drivers\cledx.sys (Team H2O)
DRV - (BIOS) -- C:\WINDOWS\system32\drivers\BIOS.sys (BIOSTAR Group)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (NwlnkIpx) -- C:\WINDOWS\system32\drivers\nwlnkipx.sys (Microsoft Corporation)
DRV - (NwlnkNb) -- C:\WINDOWS\system32\drivers\nwlnknb.sys (Microsoft Corporation)
DRV - (NwlnkSpx) -- C:\WINDOWS\system32\drivers\nwlnkspx.sys (Microsoft Corporation)
DRV - (a347bus) -- C:\WINDOWS\system32\DRIVERS\a347bus.sys ( )
DRV - (a347scsi) -- C:\WINDOWS\System32\Drivers\a347scsi.sys ( )


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "www.faz.net"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&q="


FF - HKLM\software\mozilla\Mozilla Firefox 3.5.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.03.04 15:11:08 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.03.11 12:02:28 | 000,000,000 | ---D | M]

[2008.09.04 18:32:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Extensions
[2010.03.11 12:25:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\extensions
[2009.04.14 19:54:30 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2009.08.05 22:01:12 | 000,002,399 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\daemon-search.xml
[2010.03.10 21:09:41 | 000,000,961 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-1.xml
[2008.07.16 12:18:07 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-10.xml
[2009.03.12 16:39:54 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-11.xml
[2009.03.29 21:16:04 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-12.xml
[2009.04.26 19:37:33 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-13.xml
[2009.04.28 17:30:52 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-14.xml
[2009.06.13 03:25:23 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-15.xml
[2009.07.26 21:43:52 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-16.xml
[2009.08.05 00:52:36 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-17.xml
[2009.09.12 11:28:17 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-18.xml
[2009.10.29 18:43:25 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-19.xml
[2008.03.05 23:24:44 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-2.xml
[2009.12.18 18:44:38 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-20.xml
[2010.01.08 00:18:57 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-21.xml
[2008.03.26 14:15:02 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-3.xml
[2008.04.17 18:13:27 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-4.xml
[2008.07.02 12:05:00 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-5.xml
[2008.07.03 00:44:45 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-6.xml
[2008.07.03 15:03:47 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-7.xml
[2008.07.04 10:02:59 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-8.xml
[2008.07.05 01:41:33 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-9.xml
[2009.03.01 13:02:44 | 000,000,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin.xml
[2010.03.11 12:04:01 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.03.11 17:13:38 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010.01.14 21:48:21 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.14 21:48:21 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.14 21:48:21 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.14 21:48:21 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.14 21:48:21 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
[2009.12.29 03:24:47 | 000,002,380 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\zwunzi133.xml
[2010.01.07 08:50:26 | 000,002,380 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\zwunzi135.xml

O1 HOSTS File: ([2004.11.11 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [H2O] C:\Programme\Syncrosoft\POS\H2O\cledx.exe (Team H2O)
O4 - HKLM..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe (Nero AG)
O4 - HKLM..\Run: [SkyTel] C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [UserFaultCheck] File not found
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe File not found
O4 - HKCU..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Ch. Seitz\Startmenü\Programme\Autostart\Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Ch. Seitz\Startmenü\Programme\Autostart\Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll (Google Inc.)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab (Oberon Flash Game Host)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 62.53.180.102 193.189.244.205
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Ch. Seitz\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Ch. Seitz\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.01.10 22:00:25 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{9d7a2599-1f4d-11df-983a-00e04d5ff183}\Shell\AutoRun\command - "" = G:\Get_Started_for_Win.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.03.11 10:55:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Sun
[2010.03.11 10:55:24 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.03.11 10:55:12 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.03.11 10:55:12 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.03.11 10:55:12 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.03.11 10:55:12 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.03.11 10:54:58 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.03.10 23:29:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ch. Seitz\Lokale Einstellungen\Anwendungsdaten\Google
[2010.03.10 23:29:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Google
[2010.03.10 22:43:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Malwarebytes
[2010.03.10 22:43:57 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.03.10 22:43:55 | 000,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.03.10 22:43:55 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.03.10 22:43:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
[2010.03.10 22:26:23 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.03.10 22:26:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ch. Seitz\Eigene Dateien\Downloads
[2010.03.07 18:31:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Real
[2008.01.11 17:25:12 | 000,160,640 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347bus.sys
[2008.01.11 17:25:12 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347scsi.sys
[2008.01.10 22:03:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.01.10 22:03:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.01.10 22:00:18 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2008.01.10 22:00:18 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.03.11 12:25:18 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.03.11 12:25:17 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.03.11 12:23:58 | 005,505,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\NTUSER.DAT
[2010.03.11 12:23:22 | 000,000,074 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\defogger_reenable
[2010.03.11 10:55:02 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.03.11 10:55:02 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.03.11 10:55:02 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.03.11 10:55:02 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.03.11 10:55:01 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deploytk.dll
[2010.03.10 22:43:59 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.03.10 22:26:24 | 000,001,698 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\HijackThis.lnk
[2010.03.07 18:30:29 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.03.04 15:36:42 | 000,166,471 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\lutscher.JPG
[2010.03.04 15:29:24 | 000,078,146 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\WOJ 753 divsion speed scan.jpg
[2010.03.02 12:49:34 | 000,120,872 | ---- | M] () -- C:\WINDOWS\System32\MSForms.TWD
[2010.03.01 15:23:03 | 000,000,159 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\Finanzen.doc
[2010.03.01 11:21:03 | 000,030,389 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\index.php
[2010.03.01 10:58:17 | 000,018,798 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\1-aeccea6e68f38be7.jpg
[2010.02.26 16:24:39 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\Bestellung.doc
[2010.02.25 21:46:23 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\A family concern on its way to the top.doc
[2010.02.25 21:19:20 | 000,000,072 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\Kev Adresse.doc
[2010.02.25 14:11:31 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.02.25 13:54:02 | 000,051,200 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.21 17:08:02 | 000,123,707 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\DivisionSpeed-2.jpg
[2010.02.16 17:06:05 | 001,458,176 | ---- | M] () -- C:\WINDOWS\outlook.pst
[2010.02.16 17:01:45 | 000,000,852 | ---- | M] () -- C:\WINDOWS\win.ini
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.03.11 12:23:17 | 000,000,074 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\defogger_reenable
[2010.03.10 22:43:59 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.03.10 22:26:24 | 000,001,698 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\HijackThis.lnk
[2010.03.04 15:36:42 | 000,166,471 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\lutscher.JPG
[2010.03.04 15:29:22 | 000,078,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\WOJ 753 divsion speed scan.jpg
[2010.03.02 12:49:34 | 000,120,872 | ---- | C] () -- C:\WINDOWS\System32\MSForms.TWD
[2010.03.01 11:25:06 | 000,000,159 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\Finanzen.doc
[2010.03.01 11:21:02 | 000,030,389 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\index.php
[2010.03.01 10:58:17 | 000,018,798 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\1-aeccea6e68f38be7.jpg
[2010.02.26 16:24:39 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\Bestellung.doc
[2010.02.25 21:45:13 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\A family concern on its way to the top.doc
[2010.02.25 21:19:10 | 000,000,072 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\Kev Adresse.doc
[2010.02.21 17:08:02 | 000,123,707 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\DivisionSpeed-2.jpg
[2009.10.11 01:53:28 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Lokale Einstellungen\Anwendungsdaten\PUTTY.RND
[2009.08.05 22:23:43 | 000,000,040 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ra3.ini
[2009.01.04 16:40:41 | 000,000,052 | ---- | C] () -- C:\WINDOWS\Relax.ini
[2008.12.21 20:11:25 | 000,000,028 | ---- | C] () -- C:\WINDOWS\Robota.INI
[2008.12.21 20:10:35 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\mgxasio2.dll
[2008.12.21 20:10:08 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2008.12.21 20:07:21 | 000,007,119 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2008.08.29 15:50:39 | 000,000,786 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2008.07.06 13:08:34 | 000,000,038 | ---- | C] () -- C:\WINDOWS\TETRIS.INI
[2008.03.13 15:33:56 | 000,000,634 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.03.13 15:33:56 | 000,000,022 | ---- | C] () -- C:\WINDOWS\exchng.ini
[2008.03.01 10:27:40 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2008.01.12 03:59:40 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\addr_file.html
[2008.01.11 18:59:18 | 000,139,904 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2008.01.11 17:35:32 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.01.11 17:35:31 | 000,051,200 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.01.11 16:48:54 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2008.01.11 16:48:37 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2007.09.16 18:07:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.09.16 18:07:00 | 001,478,656 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.09.16 18:07:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.09.16 18:07:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.09.16 18:07:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007.01.25 03:52:26 | 000,065,536 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
[1997.06.14 09:56:08 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll
[1996.12.14 00:00:00 | 000,025,600 | ---- | C] () -- C:\WINDOWS\System32\VADE232.DLL
[1996.12.14 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\ODBCSTF.DLL
[1996.12.14 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL
[1996.12.14 00:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL
< End of report >


EXTRAS:







OTL logfile created on: 11.03.2010 12:27:12 - Run 1
OTL by OldTimer - Version 3.1.36.1 Folder = C:\Dokumente und Einstellungen\Ch. Seitz\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 76,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 91,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 9,77 Gb Total Space | 0,64 Gb Free Space | 6,59% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 223,11 Gb Total Space | 65,13 Gb Free Space | 29,19% Space Free | Partition Type: NTFS
Drive F: | 31,47 Gb Total Space | 2,81 Gb Free Space | 8,93% Space Free | Partition Type: FAT32
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: SEITZ
Current User Name: Ch. Seitz
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Dokumente und Einstellungen\Ch. Seitz\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Nero\Nero 7\InCD\NBHGui.exe (Nero AG)
PRC - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe (Nero AG)
PRC - C:\Programme\Nero\Nero 7\InCD\InCD.exe (Nero AG)
PRC - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
PRC - C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
PRC - C:\Programme\Gemeinsame Dateien\NMSAccessU.exe ()
PRC - C:\Programme\Syncrosoft\POS\H2O\cledx.exe (Team H2O)
PRC - C:\Programme\Microsoft Office\Office\FINDFAST.EXE (Microsoft Corporation)
PRC - C:\Programme\Microsoft Office\Office\OSA.EXE ()


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Dokumente und Einstellungen\Ch. Seitz\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
SRV - (InCDsrv) -- C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe (Nero AG)
SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG)
SRV - (LightScribeService) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
SRV - (NMSAccessU) -- C:\Programme\Gemeinsame Dateien\NMSAccessU.exe ()
SRV - (FirebirdServerMAGIXInstance) -- E:\Common\Database\bin\fbserver.exe (MAGIX®)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys (Duplex Secure Ltd.)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (hamachi) -- C:\WINDOWS\system32\drivers\hamachi.sys (LogMeIn, Inc.)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (InCDfs) -- C:\WINDOWS\system32\drivers\InCDfs.sys (Nero AG)
DRV - (incdrm) -- C:\WINDOWS\system32\drivers\InCDRm.sys (Nero AG)
DRV - (InCDPass) -- C:\WINDOWS\system32\drivers\InCDPass.sys (Nero AG)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)
DRV - (xnacc) -- C:\WINDOWS\system32\drivers\xnacc.sys (Microsoft Corporation)
DRV - (CLEDX) -- C:\WINDOWS\system32\drivers\cledx.sys (Team H2O)
DRV - (BIOS) -- C:\WINDOWS\system32\drivers\BIOS.sys (BIOSTAR Group)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (NwlnkIpx) -- C:\WINDOWS\system32\drivers\nwlnkipx.sys (Microsoft Corporation)
DRV - (NwlnkNb) -- C:\WINDOWS\system32\drivers\nwlnknb.sys (Microsoft Corporation)
DRV - (NwlnkSpx) -- C:\WINDOWS\system32\drivers\nwlnkspx.sys (Microsoft Corporation)
DRV - (a347bus) -- C:\WINDOWS\system32\DRIVERS\a347bus.sys ( )
DRV - (a347scsi) -- C:\WINDOWS\System32\Drivers\a347scsi.sys ( )


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "www.faz.net"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&q="


FF - HKLM\software\mozilla\Mozilla Firefox 3.5.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.03.04 15:11:08 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.03.11 12:02:28 | 000,000,000 | ---D | M]

[2008.09.04 18:32:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Extensions
[2010.03.11 12:25:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\extensions
[2009.04.14 19:54:30 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2009.08.05 22:01:12 | 000,002,399 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\daemon-search.xml
[2010.03.10 21:09:41 | 000,000,961 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-1.xml
[2008.07.16 12:18:07 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-10.xml
[2009.03.12 16:39:54 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-11.xml
[2009.03.29 21:16:04 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-12.xml
[2009.04.26 19:37:33 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-13.xml
[2009.04.28 17:30:52 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-14.xml
[2009.06.13 03:25:23 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-15.xml
[2009.07.26 21:43:52 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-16.xml
[2009.08.05 00:52:36 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-17.xml
[2009.09.12 11:28:17 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-18.xml
[2009.10.29 18:43:25 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-19.xml
[2008.03.05 23:24:44 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-2.xml
[2009.12.18 18:44:38 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-20.xml
[2010.01.08 00:18:57 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-21.xml
[2008.03.26 14:15:02 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-3.xml
[2008.04.17 18:13:27 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-4.xml
[2008.07.02 12:05:00 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-5.xml
[2008.07.03 00:44:45 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-6.xml
[2008.07.03 15:03:47 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-7.xml
[2008.07.04 10:02:59 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-8.xml
[2008.07.05 01:41:33 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin-9.xml
[2009.03.01 13:02:44 | 000,000,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Mozilla\Firefox\Profiles\jvd2qcgj.default\searchplugins\icqplugin.xml
[2010.03.11 12:04:01 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.03.11 17:13:38 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010.01.14 21:48:21 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.14 21:48:21 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.14 21:48:21 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.14 21:48:21 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.14 21:48:21 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
[2009.12.29 03:24:47 | 000,002,380 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\zwunzi133.xml
[2010.01.07 08:50:26 | 000,002,380 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\zwunzi135.xml

O1 HOSTS File: ([2004.11.11 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [H2O] C:\Programme\Syncrosoft\POS\H2O\cledx.exe (Team H2O)
O4 - HKLM..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe (Nero AG)
O4 - HKLM..\Run: [SkyTel] C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [UserFaultCheck] File not found
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe File not found
O4 - HKCU..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Ch. Seitz\Startmenü\Programme\Autostart\Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Ch. Seitz\Startmenü\Programme\Autostart\Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll (Google Inc.)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab (Oberon Flash Game Host)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 62.53.180.102 193.189.244.205
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Ch. Seitz\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Ch. Seitz\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.01.10 22:00:25 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{9d7a2599-1f4d-11df-983a-00e04d5ff183}\Shell\AutoRun\command - "" = G:\Get_Started_for_Win.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.03.11 10:55:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Sun
[2010.03.11 10:55:24 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.03.11 10:55:12 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.03.11 10:55:12 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.03.11 10:55:12 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.03.11 10:55:12 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.03.11 10:54:58 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.03.10 23:29:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ch. Seitz\Lokale Einstellungen\Anwendungsdaten\Google
[2010.03.10 23:29:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Google
[2010.03.10 22:43:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ch. Seitz\Anwendungsdaten\Malwarebytes
[2010.03.10 22:43:57 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.03.10 22:43:55 | 000,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.03.10 22:43:55 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.03.10 22:43:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
[2010.03.10 22:26:23 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.03.10 22:26:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ch. Seitz\Eigene Dateien\Downloads
[2010.03.07 18:31:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Real
[2008.01.11 17:25:12 | 000,160,640 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347bus.sys
[2008.01.11 17:25:12 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347scsi.sys
[2008.01.10 22:03:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.01.10 22:03:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.01.10 22:00:18 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2008.01.10 22:00:18 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.03.11 12:25:18 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.03.11 12:25:17 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.03.11 12:23:58 | 005,505,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\NTUSER.DAT
[2010.03.11 12:23:22 | 000,000,074 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\defogger_reenable
[2010.03.11 10:55:02 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.03.11 10:55:02 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.03.11 10:55:02 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.03.11 10:55:02 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.03.11 10:55:01 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deploytk.dll
[2010.03.10 22:43:59 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.03.10 22:26:24 | 000,001,698 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\HijackThis.lnk
[2010.03.07 18:30:29 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.03.04 15:36:42 | 000,166,471 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\lutscher.JPG
[2010.03.04 15:29:24 | 000,078,146 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\WOJ 753 divsion speed scan.jpg
[2010.03.02 12:49:34 | 000,120,872 | ---- | M] () -- C:\WINDOWS\System32\MSForms.TWD
[2010.03.01 15:23:03 | 000,000,159 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\Finanzen.doc
[2010.03.01 11:21:03 | 000,030,389 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\index.php
[2010.03.01 10:58:17 | 000,018,798 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\1-aeccea6e68f38be7.jpg
[2010.02.26 16:24:39 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\Bestellung.doc
[2010.02.25 21:46:23 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\A family concern on its way to the top.doc
[2010.02.25 21:19:20 | 000,000,072 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\Kev Adresse.doc
[2010.02.25 14:11:31 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.02.25 13:54:02 | 000,051,200 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.21 17:08:02 | 000,123,707 | ---- | M] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\DivisionSpeed-2.jpg
[2010.02.16 17:06:05 | 001,458,176 | ---- | M] () -- C:\WINDOWS\outlook.pst
[2010.02.16 17:01:45 | 000,000,852 | ---- | M] () -- C:\WINDOWS\win.ini
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.03.11 12:23:17 | 000,000,074 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\defogger_reenable
[2010.03.10 22:43:59 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.03.10 22:26:24 | 000,001,698 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\HijackThis.lnk
[2010.03.04 15:36:42 | 000,166,471 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\lutscher.JPG
[2010.03.04 15:29:22 | 000,078,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\WOJ 753 divsion speed scan.jpg
[2010.03.02 12:49:34 | 000,120,872 | ---- | C] () -- C:\WINDOWS\System32\MSForms.TWD
[2010.03.01 11:25:06 | 000,000,159 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\Finanzen.doc
[2010.03.01 11:21:02 | 000,030,389 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\index.php
[2010.03.01 10:58:17 | 000,018,798 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\1-aeccea6e68f38be7.jpg
[2010.02.26 16:24:39 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\Bestellung.doc
[2010.02.25 21:45:13 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\A family concern on its way to the top.doc
[2010.02.25 21:19:10 | 000,000,072 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\Kev Adresse.doc
[2010.02.21 17:08:02 | 000,123,707 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Desktop\DivisionSpeed-2.jpg
[2009.10.11 01:53:28 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Lokale Einstellungen\Anwendungsdaten\PUTTY.RND
[2009.08.05 22:23:43 | 000,000,040 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ra3.ini
[2009.01.04 16:40:41 | 000,000,052 | ---- | C] () -- C:\WINDOWS\Relax.ini
[2008.12.21 20:11:25 | 000,000,028 | ---- | C] () -- C:\WINDOWS\Robota.INI
[2008.12.21 20:10:35 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\mgxasio2.dll
[2008.12.21 20:10:08 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2008.12.21 20:07:21 | 000,007,119 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2008.08.29 15:50:39 | 000,000,786 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2008.07.06 13:08:34 | 000,000,038 | ---- | C] () -- C:\WINDOWS\TETRIS.INI
[2008.03.13 15:33:56 | 000,000,634 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.03.13 15:33:56 | 000,000,022 | ---- | C] () -- C:\WINDOWS\exchng.ini
[2008.03.01 10:27:40 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2008.01.12 03:59:40 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\addr_file.html
[2008.01.11 18:59:18 | 000,139,904 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2008.01.11 17:35:32 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.01.11 17:35:31 | 000,051,200 | ---- | C] () -- C:\Dokumente und Einstellungen\Ch. Seitz\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.01.11 16:48:54 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2008.01.11 16:48:37 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2007.09.16 18:07:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.09.16 18:07:00 | 001,478,656 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.09.16 18:07:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.09.16 18:07:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.09.16 18:07:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007.01.25 03:52:26 | 000,065,536 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
[1997.06.14 09:56:08 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll
[1996.12.14 00:00:00 | 000,025,600 | ---- | C] () -- C:\WINDOWS\System32\VADE232.DLL
[1996.12.14 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\ODBCSTF.DLL
[1996.12.14 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL
[1996.12.14 00:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL
< End of report >










ROOT REPEAT BERICHT:




ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/03/11 12:35
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP2
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB59F9000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xBAE10000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB4960000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\sessionstore.js
Status: Locked to the Windows API!

SSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xbae9a706

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xbae9a6fc

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xbae9a70b

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xbae9a715

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xbae9a71a

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xbae9a6e8

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xbae9a6ed

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xbae9a724

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xbae9a71f

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xbae9a710

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xbae9a6f7

==EOF==

#4 Ich sehe nichts mehr was schädlich sein dürfte.


Schritt 1

Aber hier wirds wohl Eng. Auf der SystemPartition sollte immer genügend freier Speicher vorhanden sein. Bei dir sieht es nicht so toll aus. Schau ob Du C Daten löschen kannst welche nicht mehr nötig sind. Oder lösche Programme über Start --> Systemsteuerung --> Software, welche nicht mehr gebraucht werden:

Zitat

Drive C: | 9,77 Gb Total Space | 0,64 Gb Free Space | 6,59% Space Free | Partition Type: NTFS

Schritt 2


Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
[2009.12.29 03:24:47 | 000,002,380 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\zwunzi133.xml
[2010.01.07 08:50:26 | 000,002,380 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\zwunzi135.xml
:Commands
[purity]
[emptytemp]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• Klick auf .
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread


Schritt 3

CCleaner installieren und einstellen

• CCleaner ist ein Bereinigungstool, welches für Windows 98/NT4/ME/2000/XP/2003/Vista geeignet ist.
• CCleaner löscht unnötige Dateien und säubert die Registrierung.
• LadeCCleaner (Slim ohne Toolbar) herunterladen und installieren.
• CCleaner starten und => unter options settings => german einstellen.
• Gehe auf den Button links oben "Cleaner" => Reiter "Windows"
setze Häkchen wie folgt:
alle außer "Eingabefeld Verlauf" und bei
Erweitert nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner".• Wechsel zum Reiter "Anwendungen",
dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".


Schritt 4

• Eset Online Scanner (NOD32)
• Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
• Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Voraussetzung: Internet Explorer (IE) 5.0 oder höher
• Haken bei "YES, I accept the Terms of Use" machen
• Start
• ActiveX-Steuerelement installieren
• Start
• Signaturen werden heruntergeladen
• Haken machen bei "Remove found threads"
• Haken machen bei "Remove found threads" und "Scan unwanted applications"
• Scan
• Scanende
• Browser schließen
• Explorer öffnen
• C:\Programme\EsetOnlineScanner\log.txt
• Log hier posten
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner entfernen.




Schritt 5

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code

:filefind
Zwunzi

:regfind
Zwunzi

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.




Hast Du denn Probleme noch?

#5 So hier die weiteren geforderten Ergebnisse:


OTL


All processes killed
========== OTL ==========
C:\Programme\Mozilla Firefox\searchplugins\zwunzi133.xml moved successfully.
C:\Programme\Mozilla Firefox\searchplugins\zwunzi135.xml moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: All Users.WINDOWS

User: Ch. Seitz
->Temp folder emptied: 35461175 bytes
->Temporary Internet Files folder emptied: 24919735 bytes
->Java cache emptied: 67266451 bytes
->FireFox cache emptied: 56151729 bytes
->Flash cache emptied: 88394 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 101145 bytes

User: LocalService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes

User: NetworkService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1206248 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1868714 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 179,00 mb


OTL by OldTimer - Version 3.1.36.1 log created on 03122010_143921

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


ESET



ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=86f3d9c7f9782e419db9112727c230cc
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-03-12 02:34:36
# local_time=2010-03-12 03:34:36 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 146883 146883 0 0
# compatibility_mode=1797 16775125 100 100 703056 67894511 6349 0
# compatibility_mode=8192 67108863 100 0 3720 3720 0 0
# scanned=92174
# found=1
# cleaned=1
# scan_time=1826
E:\Desktop\freeripmp3.exe a variant of Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C


SYSTEMLOOK




SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 15:37 on 12/03/2010 by Ch. Seitz (Administrator - Elevation successful)

========== filefind ==========

Searching for "Zwunzi"
No files found.

========== regfind ==========

Searching for "Zwunzi"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZWUNZI_SERVICE]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZWUNZI_SERVICE\0000]
"Service"="Zwunzi Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZWUNZI_SERVICE\0000]
"Service"="Zwunzi Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZWUNZI_SERVICE\0000]
"Service"="Zwunzi Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZWUNZI_SERVICE\0000]
"Service"="Zwunzi Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ZWUNZI_SERVICE]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ZWUNZI_SERVICE\0000]
"Service"="Zwunzi Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ZWUNZI_SERVICE\0000]
"Service"="Zwunzi Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ZWUNZI_SERVICE\0000]
"Service"="Zwunzi Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ZWUNZI_SERVICE\0000]
"Service"="Zwunzi Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZWUNZI_SERVICE]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZWUNZI_SERVICE\0000]
"Service"="Zwunzi Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZWUNZI_SERVICE\0000]
"Service"="Zwunzi Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZWUNZI_SERVICE\0000]
"Service"="Zwunzi Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZWUNZI_SERVICE\0000]
"Service"="Zwunzi Service"

-=End Of File=-







Ansonsten habe ich soweit keine Probleme mehr. Vielen vielen Dank für die Hilfe!!!

#6 Ich hab im vorherigen Post vergessen zu erwähnen,dass mir die C-Festplatte trotz des Löschens von einigen Daten immer die gleiche Anzahl von freiem Speicher anzeigt (momentan 888 mb ,wobei mind. 1,2 GB frei sein müssten) ,wobei diese Zahl von zeit zu Zeit um wenige mb variiert.

Womit kann das zusammenhängen?

#7 Muss dringend weg..

Werde mich später um die Logs kümmern..

#8 Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
:Services
Zwunzi Service
:reg
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZWUNZI_SERVICE]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ZWUNZI_SERVICE]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZWUNZI_SERVICE]
:Commands
[purity]
[emptytemp]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• Klick auf .
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread

Schritt 2

F-Secure Onlinescanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
• Unterstützte Betriebssysteme: Windows 2000, Windows XP und Windows Vista (32bit)
• Bitte den Internet Explorer unbedingt mit Rechtsklick auf das Icon und als Administrator starten.
• Einen Haken bei "I have read and accepted the license terms".
• Den Button "Install" drücken.
• IE-User müssen die Installation des ActiveX Elements erlauben und auf "Installieren" klicken.
• Firefox-User müssen die Installation des Firefox Addons erlauben und anschließend den Firefox neu starten.
• Den Button "Start" drücken.
• "Full Scan" einstellen und den Button "Start" drücken.
• Die Signaturen werden heruntergeladen.
• Der Scan beginnt automatisch.
• Scanende (Finish).
• Bei Funden benutze => Automatische Bereinigung (Automatically)
• und klicke auf den Button "Next".
• Bericht anzeigen, indem Du auf den Button "Full report" klickst.
• Menü => Datei => Seite speichern unter
• Dateityp auf Textdatei umstellen und
• auf dem Desktop als f-secure.txtspeichern.
• Log hier posten.

#9 OTL




All processes killed
========== OTL ==========
========== SERVICES/DRIVERS ==========
Error: No service named Zwunzi Service was found to stop!
Service\Driver key Zwunzi Service not found.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: All Users.WINDOWS

User: Ch. Seitz
->Temp folder emptied: 2439370 bytes
->Temporary Internet Files folder emptied: 2570918 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 52796997 bytes
->Flash cache emptied: 1972 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
RecycleBin emptied: 757586544 bytes

Total Files Cleaned = 778,00 mb


OTL by OldTimer - Version 3.1.36.1 log created on 03132010_154414

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...






F-SECURE




Scanning Report


Saturday, March 13, 2010 15:51:09 - 16:00:44

Computer name: SEITZ
Scanning type: Scan system for malware, spyware and rootkits
Target: C:\ E:\ F:\

------------------------------------------------------------------------


4 malware found

TrackingCookie.2o7
<http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.2o7&orig='disk'>
(spyware)

* System (Disinfected)

TrackingCookie.Doubleclick
<http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Doubleclick&orig='disk'>
(spyware)

* System (Disinfected)

TrackingCookie.Atwola
<http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Atwola&orig='disk'>
(spyware)

* System (Disinfected)

TrackingCookie.Yieldmanager
<http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Yieldmanager&orig='disk'>
(spyware)

* System (Disinfected)

------------------------------------------------------------------------


Statistics

Scanned:

* Files: 24314
* System: 3217
* Not scanned: 9

Actions:

* Disinfected: 4
* Renamed: 0
* Deleted: 0
* Not cleaned: 0
* Submitted: 0

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
* C:\DOKUMENTE UND EINSTELLUNGEN\CH. SEITZ\LOKALE
EINSTELLUNGEN\TEMP\HSPERFDATA_CH. SEITZ\240
* C:\DOKUMENTE UND EINSTELLUNGEN\CH. SEITZ\LOKALE
EINSTELLUNGEN\TEMP\HSPERFDATA_CH. SEITZ\3672

------------------------------------------------------------------------


Options

Scanning engines:

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT
VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM
ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK
WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML
PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB LSP MAP MHT
MIF PHP POT SWF WMF NWS TAR
* Use advanced heuristics

------------------------------------------------------------------------


Copyright © 1998-2009 Product support
<http://support.f-secure.com/> | Send virus sample to
F-Secure
<http://support.f-secure.com//enu/home/virusproblem/sample/>


F-Secure assumes no responsibility for material
created or published by third parties that F-Secure
World Wide Web pages have a link to. Unless you have
clearly stated otherwise, by submitting material to
any of our servers, for example by E-mail or via our
F-Secure's CGI E-mail, you agree that the material you
make available may be published in the F-Secure World
Wide Pages or hard-copy publications. You will reach
F-Secure public web site by clicking on underlined
links. While doing this, your access will be logged to
our private access statistics with your domain name.
This information will not be given to any third party.
You agree not to take action against us in relation to
material that you submit. Unless you have clearly
stated otherwise, by submitting material you warrant
that F-Secure may incorporate any concepts described
in it in the F-Secure products/publications without
liability.

#10 Schritt 1

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Doppelklick auf OTL.exe um das Programm auszuführen.
Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
• Klicke auf den Button "CleanUp!"
• OTM fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Schritt 2

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Soltle TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Schritt 3

Die Systempartition wurde halt fast du knapp bemessen. Ich weiss nicht was alles unter C: Hast. Evtl Lieder, Bilder.... diese dann auf eine Andere speichern.


Wenn Du sonst keine Probleme mer hast dann sind wir durch

#11 So, nun sollte es kein Problem mehr geben. Das mit der C: Festplatte hat sich auch geklärt.
Noch mal vielen vielen Dank für die Hilfe!!!

#12 Nachsorge


[SIZE="3"]Nachsorge[/SIZE]

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra .

Erstelle einen neuen Systemwiederherstellungspunkt

Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).
• Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
• Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.
Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.

Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde, da Combofix das schon erledigt.

Massnahmen:

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra .

Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich [url="http://www.CCleaner.de"]CCleaner[/url], (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe die Anleitung von Hijackthis-Forum.de. Bei Java (Sun) immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

• System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
• Port-Scan-Test.
• WLAN absichern.
• Sichere Passwörter vergeben.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.


Spenden:

Da häufig die Frage nach einer Spendenmöglichkeit auftaucht, hier ein kleiner Hinweis dazu: Wenn Dir unser Support gefallen hat und Du dazu beitragen möchtest, dass dieser kostenlose Service aufrecht erhalten wird, kannst Du das mit einer freiwilligen kleinen Spende an Protecus tun. Entscheidest Du Dich für einen Zustupf an meine Wenigkeit dann geht dies über dieses Pay-Pal Konto.