PC fährt nicht mehr hoch, dringend, unbekannte Viren (?)

Thema ist geschlossen!
Thema ist geschlossen!
#0
07.04.2010, 15:45
...neu hier

Beiträge: 8
#1 Hallo zusammen,

letzte Woche habe ich mir mit meinem Laptop wohl einen fetten Oster-Virus eingefangen
Ich fang mal ganz von vorne an:
Ganz normaler Tag, ich surfe im Internet. Plötzlich kommt eine Fehlermeldung meines Antivirensystems (Panda Platinum Internet Security 2010) mit "Einbruchsversuch abgewehrt". Ich hab mir nichts weiter dabei gedacht, das ist eigentlich schon an der Tagesordnung. Kurz darauf kommt eine nächste Meldung, diesmal von Windows. "xipnebdv.exe hat ein Problem festgestellt und muss beendet werden" Hä? Was ist das bitte? Habe ich noch nie gehört.
Nagut, die Festplatte hat schon arg gerattert worauf ich schließen musste, dass da schon etwas im Anflug war, der PC reagierte jetzt nur noch schwach.
Und promt kam die nächste Fehlermeldung: "Sie haben sich entschlossen, das Programm macwrxsone.tmp, das nicht reagiert, zu beenden." und "Die Anweisung in "0x1000157e" verweist auf Speicher in "0x003f4000". Der Vorgang "read" konnte nicht auf dem Speicher durchgeführt werden. Klicken Sie auf "OK" um das Programm zu beenden"

Na prima, da hatte ich den Salat. Der Computer reagierte auf NICHTS mehr. Ich wusste nicht was ich machen sollte, also hab ich einfach mal die Stromversorgung gekappt, und neu gestartet.
Und siehe da: Er fährt nicht mehr hoch
Die ersten 10Sekunden ist alles normal, aber dann kommt für einen kurzen Augenblick (zu kurz um zu erkennen was darinsteht) ein Bluescreen und er startet wieder von neuem. Auf "normalem" Wege habe ich keine Chance in Windows zu kommen.

Meine durchschnittlichen PC-Kentnisse sagten mir, "probiers doch mal im Abgesicherten Modus".
Alles klar, neu gestartet, F8 gedrückt und im Abgesicherten Modus hochgefahren. Tzja, denkste : Der fährt auch nur im Abgesicherten Modus hoch, wenn ich "Cancel loading SPTD.sys" auswähle.

TATAA! Ich war im Abgesichertem Modus.
Dann mal schnell mit meinem Panda nach Viren scannen lassen. Ergebniss: ca 40mal die Hucke voll bekommen, einige davon konnte er nicht desinfizieren -> habe ich an PandaLabs zum desinfizieren geschickt. Jedoch hat mich eine Datei SEHR stutzig gemacht, namens "OLD13B.tmp. Dieses "HackerTool" wurde gefunden, im Ordner [i]C:\WINDOWS\system32\drivers\ Panda sagt mir auch folgendes: "Malware-Name: Rootkit/Agent.NMS, Ursache: Hacker-Tools, Status: Malware"

Puuh, da musste ich erst mal schlucken. Naja, da ich ja eine Original Version von Panda IS besitze, habe ich denen erstmal eine Email geschrieben und mein Problem exakt geschildert. Zwei Stunden später bekam ich eine nette Email mit drei verschiedenen Lösungsansätzen. Habe alles ausprobiert, jedoch ohne Erfolg. Ich schreib wieder an Panda, habe jedoch bis heute keine Antwort bekommen (sehr seltsam, vielleicht dauert das auch noch ein wenig)

Habe im abgesicherten Modus noch schnell ein Hijackthis-Log durchlaufen lassen, könnt ihr hier finden:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:20:58, on 31.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: **** (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Panda Security\Panda Internet Security 2010\apvxdwin.exe
C:\Programme\Panda Security\Panda Internet Security 2010\WebProxy.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\ctfmon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\bar\2.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\bar\2.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\2.bin\MWSBAR.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\2.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Internet Security 2010\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Internet Security 2010\Inicio.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - hxxp://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: cbssreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.9.911.3589 (GoogleDesktopManager-110309-193829) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwssvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2010\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2010\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe
O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2010\pavsrv51.exe
O23 - Service: Panda Host Service (PSHost) - Panda Security International - c:\programme\panda security\panda internet security 2010\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Programme\Panda Security\Panda Internet Security 2010\PsImSvc.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2010\PskSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2010\TPSrv.exe

--
End of file - 7491 bytes
Lange Rede kurzer Sinn:
Mein Laptop fährt nicht mehr hoch, formatieren kommt für mich nicht in Frage. Ich habe anscheinend ne Menge Viren/Trojaner sonstigen drauf, und bekomm sie nicht weg.
Ich hoffe wirklich, dass sich jemand hier die Mühe macht, meinen doch schon längeren Text einmal sorgfältig durchzugehen und dann versucht mir zu helfen. Ich bin auf den Laptop dringend angewiesen.

Falls es noch wichtig ist, es handelt sich bei dem betroffenem Gerät um:
Acer Extensa, Intel Celeron processor 900 (2,2GHz, 800MHz FSB, 1MB L2 Cache), Mobile Intel Graphics Media Accelerator, 1GB DDR2, 160GB HDD
mit Windows XP Service Pack 3
Seitenanfang Seitenende
07.04.2010, 18:48
Moderator

Beiträge: 5694
#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:

Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Auch wenn für Dich ein Neuaufsetzen nicht in frage kommt, poste ich Dir trotzdem einmal folgenden Hinweis:

Backdoor Warnung

Da Dein Computer mit einer sog. Backdoor (Hintertür) infiziert ist, lies Dir diesen Beitrag sehr aufmerksam durch. Eine Backdoor versteckt sich durch ein Rootkit. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen.

Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädling kann alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch Mitloggen der Tastatur-Eingaben ausspionieren. Mit diesem System auf keinen Fall mehr Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen.

Bitte trenne den Computer während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit eine Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen.

Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet.

Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss.

Zitat

Da der Computer aktuell als komprimitiert eingestuft wird, unbedingt den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Mit diesem Computer keinesfalls Online-Banking, Filesharing, Mailing oder Messaging betreiben.
Keine Up- und Downloads, außer auf Security-Seiten.
Alle auf diesem System gespeicherten Passwörter von einem garantiert sauberen Rechner aus durch neue ersetzen.
Mehr Information zum Thema, siehe auch System-Sicherheit
Seitenanfang Seitenende
07.04.2010, 19:22
...neu hier

Themenstarter

Beiträge: 8
#3 Hi,
danke für die Antwort.
Jetzt mal so nebenbei. Kann man eigentlich nicht herausfinden, wer mich damit infiziert hat? Denn eigentlich macht sich derjenige ja damit strafbar. Und wie kann sowas eigentlich passieren? Ich hab eigentlich ein ziemlich gutes AntiViren Programm und etwas derartiges ist mir wirklich noch nie passiert.

Nachdem ich nun deinen Post gelesen hab, möchte ich es doch einmal mit der Reinigung versuchen. Ich hab ja schon geschrieben, dass ich mit PandaLabs in Verbindung stehe, allerdings sind die wahrscheinlich auch ein bisschen im Stress. Aber mein PC muss so schnell wie möglich wieder funktionieren. Es sind darauf extrem wichtige Programme vorhanden, an die ich sonst nicht mehr kommen würde. Daher kommt eine Formatierung wirklich nur im äußersten Notfall im Frage.

Bin offen für deinen Lösungsvorschlag, und schonmal danke für die HIlfe !
Seitenanfang Seitenende
07.04.2010, 19:31
Moderator

Beiträge: 5694
#4 Also bezüglich der Viren. Klar ist es strafbar. Aber wenn Du z.b. einen Anhang öffnest oder etwas runterlädst was infiziert ist und ausführst dann hats DU ja den Schritt gemacht. Das ganze ist halt heikel. Und nein. Du wirst wohl kam heraus finden wer für Deine Infektion verantwortlich ist.

Im Abgesicherten Modus kannst Du ja arbeiten dann mach folgendes:

Schritt 1

Einträge mit HijackThis fixen

Bitte alle Anwendungen inkl. Browser schließen und folgende Einträge mit HJT fixen (falls noch vorhanden):
Starte HijackThis (bei Vista mit Rechtsklick als Adminstrator) => Do a system scan only => mache vor folgenden Zeilen einen Haken klicke und dann "Fix checked":

Code

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\bar\2.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\bar\2.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\2.bin\MWSBAR.DLL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\2.bin\MWSBAR.DLL
O8 - Extra context menu item: &Search - hxxp://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox00
20 - Winlogon Notify: cbssreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwssvc.exe
Den Rechner neu starten.


Schritt 2

Malwarebytes Anti-Malware

Lade MBAM herunter, installiere es und wähle bei Reiter:

-> “Update“> “Suche nach Aktualisierungen“
-> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“
-> “Scanner”> "Quickscan durchfuehren".

Wenn am Ende Infizierungen gefunden werden, diese anhaken und entfernen lassen. Starte dein Rechner neu



Wechsle in den Normalmodus falls es geht:


Schritt 3

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.


Schritt 4

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.
Seitenanfang Seitenende
07.04.2010, 23:14
...neu hier

Themenstarter

Beiträge: 8
#5 So, habe alles der Reihenfolge nach gemacht. Betroffene Dateien habe ich mit HiJackThis gefixed. Malwarebytes' Anti-Malware hat über 200 Dateien gefunden, habe sie alle löschen lassen. Konnte danach aber dennoch nicht in den normalen Modus wechseln.
Hier das Log von GMER:

Code


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-07 22:45:41
Windows 5.1.2600 Service Pack 3
Running: q6elyb8o.exe; Driver: C:\DOKUME~1\****\LOKALE~1\Temp\kxdyqaoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.rsrc           C:\WINDOWS\system32\drivers\atapi.sys                                                                               entry point in ".rsrc" section [0xF751E794]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\svchost.exe[540] ntdll.dll!NtProtectVirtualMemory                                               7C91D6EE 5 Bytes  JMP 007F000A
.text           C:\WINDOWS\system32\svchost.exe[540] ntdll.dll!NtWriteVirtualMemory                                                 7C91DFAE 5 Bytes  JMP 0080000A
.text           C:\WINDOWS\system32\svchost.exe[540] ntdll.dll!KiUserExceptionDispatcher                                            7C91E47C 5 Bytes  JMP 003C000C
.text           C:\WINDOWS\Explorer.EXE[812] ntdll.dll!NtProtectVirtualMemory                                                       7C91D6EE 5 Bytes  JMP 00A3000A
.text           C:\WINDOWS\Explorer.EXE[812] ntdll.dll!NtWriteVirtualMemory                                                         7C91DFAE 5 Bytes  JMP 00A4000A
.text           C:\WINDOWS\Explorer.EXE[812] ntdll.dll!KiUserExceptionDispatcher                                                    7C91E47C 5 Bytes  JMP 00A2000C

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                             SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                             SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device           -> \Driver\atapi \Device\Harddisk0\DR0                                                                             85692CA1

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x33 0xE5 0xDE 0x89 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                          
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0x5A 0xF6 0x6A 0x85 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0xA9 0x92 0x6A 0x89 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x33 0xE5 0xDE 0x89 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)      
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0x5A 0xF6 0x6A 0x85 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0xA7 0x13 0x0D 0xB9 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x33 0xE5 0xDE 0x89 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)      
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0x5A 0xF6 0x6A 0x85 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0xA9 0x92 0x6A 0x89 ...

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\system32\drivers\atapi.sys                                                                               suspicious modification

---- EOF - GMER 1.0.15 ----


und hier von OLT:

Code

OTL logfile created on: 07.04.2010 22:46:44 - Run 1
OTL by OldTimer - Version 3.2.1.0     Folder = E:\****
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

953,00 Mb Total Physical Memory | 639,00 Mb Available Physical Memory | 67,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 1428 2856 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 101,36 Gb Free Space | 68,01% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 3,40 Gb Total Space | 3,39 Gb Free Space | 99,58% Space Free | Partition Type: FAT32
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ****
Current User Name: ****
Logged in as Administrator.

Current Boot Mode: SafeMode
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - E:\****\OTL.exe (OldTimer Tools)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\swriter.exe ()
PRC - C:\Programme\Panda Security\Panda Internet Security 2010\psksvc.exe (Panda Security, S.L.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - E:\****\OTL.exe (OldTimer Tools)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (GoogleDesktopManager-110309-193829) -- C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe (Google)
SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
SRV - (Panda Software Controller) -- C:\Programme\Panda Security\Panda Internet Security 2010\PsCtrls.exe (Panda Security, S.L.)
SRV - (PAVSRV) -- C:\Programme\Panda Security\Panda Internet Security 2010\pavsrv51.exe (Panda Security, S.L.)
SRV - (PAVFNSVR) -- C:\Programme\Panda Security\Panda Internet Security 2010\PavFnSvr.exe (Panda Security, S.L.)
SRV - (TPSrv) -- C:\Programme\Panda Security\Panda Internet Security 2010\TPSrv.exe (Panda Security, S.L.)
SRV - (PSHost) -- c:\programme\panda security\panda internet security 2010\firewall\PSHOST.EXE (Panda Security International)
SRV - (Gwmsrv) -- C:\Programme\Panda Security\Panda Internet Security 2010\GWMsrv.dll (Panda Security, S.L.)
SRV - (PskSvcRetail) -- C:\Programme\Panda Security\Panda Internet Security 2010\PskSvc.exe (Panda Security, S.L.)
SRV - (PSIMSVC) -- C:\Programme\Panda Security\Panda Internet Security 2010\PsImSvc.exe (Panda Security S.L.)
SRV - (PavPrSrv) -- C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe (Panda Security, S.L.)
SRV - (StyleXPService) -- C:\Programme\TGTSoft\StyleXP\StyleXPService.exe ()


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (ethagdgk) -- C:\WINDOWS\system32\drivers\ethagdgk.sys ()
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys (Duplex Secure Ltd.)
DRV - (pavboot) -- C:\WINDOWS\system32\drivers\pavboot.sys (Panda Security, S.L.)
DRV - (AR5416) -- C:\WINDOWS\system32\drivers\athw.sys (Atheros Communications, Inc.)
DRV - (PavProc) -- C:\WINDOWS\system32\drivers\PavProc.sys (Panda Security, S.L.)
DRV - (NETFLTDI) -- C:\WINDOWS\system32\drivers\NETFLTDI.SYS (Panda Security, S.L.)
DRV - (NETIMFLT01060034) -- C:\WINDOWS\system32\drivers\neti1634.sys (Panda Security, S.L.)
DRV - (APPFLT) -- C:\WINDOWS\system32\drivers\APPFLT.SYS (Panda Security, S.L.)
DRV - (WNMFLT) -- C:\WINDOWS\system32\drivers\wnmflt.sys (Panda Security, S.L.)
DRV - (IDSFLT) -- C:\WINDOWS\system32\drivers\idsflt.sys (Panda Security, S.L.)
DRV - (DSAFLT) -- C:\WINDOWS\system32\drivers\dsaflt.sys (Panda Security, S.L.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)
DRV - (IntcHdmiAddService) Intel(R) -- C:\WINDOWS\system32\drivers\IntcHdmi.sys (Intel(R) Corporation)
DRV - (PAVDRV) -- C:\WINDOWS\system32\drivers\pavdrv51.sys (Panda Security, S.L.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (FNETMON) -- C:\WINDOWS\system32\drivers\fnetmon.sys (Panda Security, S.L.)
DRV - (b57w2k) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation)
DRV - (ShldDrv) -- C:\WINDOWS\system32\drivers\ShlDrv51.sys (Panda Security, S.L.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (StyleXPHelper) -- C:\Programme\TGTSoft\StyleXP\StyleXPHelper.exe (Windows (R) 2000 DDK provider)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..extensions.enabledItems: {e213bb8f-8ebd-11db-96b7-005056c00008}:3.0.0.87
FF - prefs.js..extensions.enabledItems: nasanightlaunch@example.com:0.6.20091031
FF - prefs.js..extensions.enabledItems: {269e35b1-cdde-11de-8a39-0800200c9a67}:0.3.3
FF - prefs.js..extensions.enabledItems: {07b2a769-ed19-4483-87ce-c643914c81bb}:3.0.0.87

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.2pre\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.03.24 18:49:02 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.2pre\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.03.24 18:49:02 | 000,000,000 | ---D | M]

[2009.10.13 15:34:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Extensions
[2010.04.07 13:22:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\extensions
[2010.02.04 17:19:52 | 000,000,000 | ---D | M] (Anonymouse-Toolbar) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\extensions\{00E2F4E0-F208-4826-A101-FE547C6DA4A1}
[2010.01.31 12:03:20 | 000,000,000 | ---D | M] (Vista-aero) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\extensions\{07b2a769-ed19-4483-87ce-c643914c81bb}
[2009.11.25 17:32:01 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.01.02 12:40:11 | 000,000,000 | ---D | M] (Netfox) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\extensions\{269e35b1-cdde-11de-8a39-0800200c9a67}
[2010.03.02 20:39:26 | 000,000,000 | ---D | M] (kikin plugin (Murb.com Edition)) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\extensions\{AA994882-F391-4d2e-806F-8908DA4814ED}
[2010.01.31 12:03:54 | 000,000,000 | ---D | M] (myFireFox) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\extensions\{e213bb8f-8ebd-11db-96b7-005056c00008}
[2009.10.13 19:03:00 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2010.01.30 23:16:47 | 000,000,000 | ---D | M] (FoxTab) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\extensions\{ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}
[2010.03.28 11:54:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\extensions\DeviceDetection@logitech.com
[2010.01.02 12:41:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\extensions\nasanightlaunch@example.com
[2010.01.31 12:03:21 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\extensions\{07b2a769-ed19-4483-87ce-c643914c81bb}\chrome\mozapps\extensions
[2010.01.31 12:03:55 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\extensions\{e213bb8f-8ebd-11db-96b7-005056c00008}\chrome\mozapps\extensions
[2009.10.13 16:29:58 | 000,002,399 | ---- | M] () -- C:\Dokumente und Einstellungen\Jasmin\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\searchplugins\daemon-search.xml
[2010.03.27 12:49:19 | 000,000,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Jasmin\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\searchplugins\icqplugin.xml
[2009.11.04 11:17:22 | 000,009,941 | ---- | M] () -- C:\Dokumente und Einstellungen\Jasmin\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\searchplugins\mywebsearch.xml
[2010.04.01 17:18:35 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.02.02 17:43:02 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010.03.07 15:23:45 | 000,300,408 | ---- | M] (Musicnotes, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npmusicn.dll
[2009.12.29 18:37:05 | 000,238,776 | ---- | M] (Pando Networks) -- C:\Programme\Mozilla Firefox\plugins\npPandoWebInst.dll
[2009.12.21 07:47:02 | 000,063,488 | ---- | M] (Nullsoft) -- C:\Programme\Mozilla Firefox\plugins\npwachk.dll
[2009.08.09 02:11:22 | 010,437,264 | ---- | M] (PDFTron Systems Inc.) -- C:\Programme\Mozilla Firefox\plugins\PDFNetC.dll
[2009.08.09 02:30:36 | 000,107,760 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\ScorchPDFWrapper.dll
[2010.02.05 22:21:36 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.12.05 12:22:19 | 000,001,779 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\clipfish.xml
[2009.12.05 12:22:19 | 000,001,013 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\conrad.xml
[2009.12.05 12:22:19 | 000,002,487 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\discount24.xml
[2010.02.05 22:21:36 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.02.05 22:21:36 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.12.05 12:22:19 | 000,001,047 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\musicload.xml
[2009.12.05 12:22:19 | 000,002,120 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\myvideo.xml
[2009.12.05 12:22:19 | 000,002,023 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\otto.xml
[2009.12.05 12:22:19 | 000,000,758 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\quelle.xml
[2009.12.05 12:22:19 | 000,001,329 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\telefonbuch-de.xml
[2010.02.05 22:21:36 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.02.05 22:21:36 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
[2009.12.05 12:22:19 | 000,005,375 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yodl.xml

O1 HOSTS File: ([2010.03.31 18:18:36 | 000,001,053 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 www.Brenz.pl
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1       activate.adobe.com
O1 - Hosts: 127.0.0.1 im.adtech.de
O1 - Hosts: 127.0.0.1 adserver.adtech.de
O1 - Hosts: 127.0.0.1 adtech.de
O1 - Hosts: 127.0.0.1 ar.atwola.com
O1 - Hosts: 127.0.0.1 atwola.com
O1 - Hosts: 127.0.0.1 adserver.71i.de
O1 - Hosts: 127.0.0.1 adicqserver.71i.de
O1 - Hosts: 127.0.0.1 71i.de
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (StylerToolBar) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll (StyleFantasist)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [APVXDWIN] C:\Programme\Panda Security\Panda Internet Security 2010\APVXDWIN.EXE (Panda Security, S.L.)
O4 - HKLM..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [Google Desktop Search] C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe (Google)
O4 - HKLM..\Run: [Malwarebytes Anti-Malware (reboot)] C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [SCANINICIO] C:\Programme\Panda Security\Panda Internet Security 2010\Inicio.exe (Panda Security, S.L.)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (Nullsoft)
O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\daemon.exe (DT Soft Ltd)
O4 - HKCU..\Run: [ICQ] C:\Programme\ICQ7.0\ICQ.exe (ICQ, Inc.)
O4 - HKCU..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe ()
O4 - HKCU..\Run: [Steam] C:\Programme\Steam\Steam.exe (Valve Corporation)
O4 - HKCU..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe ()
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\Styler.lnk = C:\Dokumente und Einstellungen\****\Anwendungsdaten\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, Inc.)
O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O15 - HKCU\..Trusted Domains: localhost ([]http in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: GD ([http] in Lokales Intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} http://acs.pandasoftware.com/activescan/pro/cabs/as2stubie.cab (ActiveScan 2.0 Installer Class)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL) - C:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\avldr: DllName - avldr.dll - C:\WINDOWS\System32\avldr.dll (Panda Security, S.L.)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O21 - SSODL: IconPackager Repair - {1799460C-0BC8-4865-B9DF-4A36CD703FF0} - C:\Programme\Stardock\Object Desktop\IconPackager\iprepair.dll (Stardock.net, Inc)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.10.13 14:51:12 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (MACHINE BootExecut) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.04.07 20:41:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\alt
[2010.04.07 13:23:33 | 000,000,000 | ---D | C] -- C:\Lop SD
[2010.04.07 11:54:42 | 000,000,000 | ---D | C] -- C:\rsit
[2010.04.07 11:42:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jasmin\Anwendungsdaten\Malwarebytes
[2010.04.07 11:42:00 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.07 11:41:58 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.07 11:41:58 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.04.07 11:41:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.04.07 11:41:34 | 005,918,776 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\****\Desktop\mbam-setup-1.45.exe
[2010.04.07 11:37:47 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\****\Recent
[2010.04.01 15:04:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood
[2010.03.31 22:18:40 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.03.31 22:06:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.03.31 21:50:21 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Settings
[2010.03.31 21:31:59 | 000,000,000 | -HSD | C] -- C:\found.000
[2010.03.31 18:40:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2010.03.31 18:38:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2010.03.31 18:21:56 | 000,002,944 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\ldnpw.sys
[2010.03.31 12:27:36 | 000,000,000 | ---D | C] -- C:\Programme\Crayon Physics Deluxe
[2010.03.23 20:29:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Eigene Dateien\Eigene Google Gadgets
[2010.03.23 20:28:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Google
[2010.03.23 20:28:08 | 000,000,000 | ---D | C] -- C:\Programme\Google
[2010.03.14 18:59:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\TeamSpeak 3 Client
[2010.03.10 22:32:54 | 003,558,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\moviemk.exe
[2010.03.10 18:53:40 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\****\Eigene Dateien\musicnotes
[2009.11.01 11:59:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.10.18 16:19:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire
[2009.10.13 14:51:05 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2009.10.13 14:51:05 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.04.07 22:45:55 | 000,006,887 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\GMER.rtf
[2010.04.07 21:03:49 | 000,458,822 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.07 21:03:49 | 000,441,124 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.07 21:03:49 | 000,084,326 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.07 21:03:49 | 000,071,060 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.04.07 21:03:46 | 001,070,080 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.07 20:59:09 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.07 20:57:52 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\****\ntuser.ini
[2010.04.07 20:57:51 | 005,505,024 | ---- | M] () -- C:\Dokumente und Einstellungen\****\ntuser.dat
[2010.04.07 20:39:57 | 000,000,104 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\NetAdapt.cfg
[2010.04.07 17:00:21 | 000,000,534 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.04.07 17:00:21 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.04.07 17:00:21 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2010.04.07 11:51:24 | 000,000,092 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\NetLoc.wlt
[2010.04.07 11:42:29 | 000,140,288 | ---- | M] () -- C:\WINDOWS\System32\drivers\ethagdgk.sys
[2010.04.07 11:42:03 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.07 11:41:43 | 005,918,776 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\****\Desktop\mbam-setup-1.45.exe
[2010.04.07 10:36:57 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.04.03 20:49:14 | 000,167,022 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\104_7033.JPG
[2010.04.01 18:40:21 | 000,000,290 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\pfdnnt.act
[2010.03.31 22:18:40 | 000,001,698 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\HijackThis.lnk
[2010.03.31 22:12:15 | 000,012,074 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\cc_20100331_221210.reg
[2010.03.31 18:31:40 | 001,600,656 | -H-- | M] () -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At72.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At71.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At70.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At69.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At68.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At67.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At66.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At65.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At64.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At63.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At62.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At61.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At60.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At59.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At58.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At57.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At56.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At55.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At54.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At53.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At52.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At51.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At50.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\At49.job
[2010.03.31 18:21:56 | 000,002,944 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\ldnpw.sys
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At9.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At8.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At7.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At6.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At5.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At4.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At3.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At24.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At23.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At22.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At21.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At20.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At2.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At19.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At18.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At17.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At16.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At15.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At14.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At13.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At12.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At11.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At10.job
[2010.03.31 18:20:16 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At1.job
[2010.03.31 18:19:54 | 000,410,448 | ---- | M] () -- C:\WINDOWS\System32\drivers\APPFCONT.DAT.bck
[2010.03.31 18:19:54 | 000,410,448 | ---- | M] () -- C:\WINDOWS\System32\drivers\APPFCONT.DAT
[2010.03.31 18:18:36 | 000,001,053 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.03.31 17:49:45 | 000,008,627 | ---- | M] () -- C:\WINDOWS\System32\PAV_FOG.OPC
[2010.03.31 17:39:54 | 000,000,104 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\NetAdapt.cfg.bck
[2010.03.31 16:01:18 | 000,000,420 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{DA5AAAD5-6865-490C-90AD-E6D123EE9ECD}.job
[2010.03.31 10:57:41 | 000,447,324 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\DsaFlt.rls.bck
[2010.03.31 10:57:41 | 000,447,324 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\DsaFlt.rls
[2010.03.31 10:57:41 | 000,001,132 | ---- | M] () -- C:\WINDOWS\System32\drivers\APPFLTR.CFG.bck
[2010.03.31 10:57:41 | 000,000,252 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\IdsFlt.cfg.bck
[2010.03.31 10:57:41 | 000,000,092 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\NetLoc.wlt.bck
[2010.03.31 10:57:41 | 000,000,068 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\NetFlt.cfg.bck
[2010.03.31 10:57:41 | 000,000,056 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\WnmFlt.cfg.bck
[2010.03.31 10:57:41 | 000,000,056 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\DsaFlt.cfg.bck
[2010.03.31 10:55:25 | 000,000,060 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\NetAR.wlt.bck
[2010.03.31 10:55:25 | 000,000,060 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\NetAR.wlt
[2010.03.31 10:55:10 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.03.30 11:02:54 | 000,001,132 | ---- | M] () -- C:\WINDOWS\System32\drivers\APPFLTR.CFG
[2010.03.30 11:02:54 | 000,000,252 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\IdsFlt.cfg
[2010.03.30 11:02:54 | 000,000,068 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\NetFlt.cfg
[2010.03.30 11:02:54 | 000,000,056 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\WnmFlt.cfg
[2010.03.30 11:02:54 | 000,000,056 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\DsaFlt.cfg
[2010.03.30 00:46:30 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.03.30 00:45:52 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.03.29 22:44:16 | 000,024,064 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.03.29 17:46:59 | 000,037,029 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\soulsister.pdf
[2010.03.28 11:37:08 | 000,069,450 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Eigene Dateien\k13-session-superheroes-im-stadthalle-lichtenfels.jpg
[2010.03.24 20:49:17 | 000,061,271 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Eigene Dateien\l_fe07526f46fc435f9b39785ee5c054b2.jpg
[2010.03.24 20:48:04 | 000,048,846 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Eigene Dateien\l_1936bead7660487191f25bf16a247947.jpg
[2010.03.23 21:27:42 | 084,722,220 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Radical Face 'Welcome Home'.avi
[2010.03.23 21:07:19 | 000,000,906 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\DVDVideoSoft Free Studio.lnk
[2010.03.15 15:42:08 | 000,010,730 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Eigene Dateien\6-47be2cea7a5fa4a3.jpg
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.04.07 22:45:55 | 000,006,887 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\GMER.rtf
[2010.04.07 17:00:21 | 000,001,910 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\Styler.lnk
[2010.04.07 17:00:21 | 000,000,836 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk
[2010.04.07 11:42:29 | 000,140,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ethagdgk.sys
[2010.04.07 11:42:03 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.03 20:49:14 | 000,167,022 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\104_7033.JPG
[2010.03.31 22:18:40 | 000,001,698 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\HijackThis.lnk
[2010.03.31 22:12:13 | 000,012,074 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\cc_20100331_221210.reg
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At72.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At71.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At70.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At69.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At68.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At67.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At66.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At65.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At64.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At63.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At62.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At61.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At60.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At59.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At58.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At57.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At56.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At55.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At54.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At53.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At52.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At51.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At50.job
[2010.03.31 18:24:51 | 000,000,354 | ---- | C] () -- C:\WINDOWS\tasks\At49.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At9.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At8.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At7.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At6.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At5.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At4.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At3.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At24.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At23.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At22.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At21.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At20.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At2.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At19.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At18.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At17.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At16.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At15.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At14.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At13.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At12.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At11.job
[2010.03.31 18:20:15 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At10.job
[2010.03.31 18:20:14 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At1.job
[2010.03.30 12:16:13 | 005,505,024 | ---- | C] () -- C:\Dokumente und Einstellungen\****\ntuser.dat
[2010.03.29 17:46:59 | 000,037,029 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\soulsister.pdf
[2010.03.28 11:37:07 | 000,069,450 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Eigene Dateien\k13-session-superheroes-im-stadthalle-lichtenfels.jpg
[2010.03.24 20:49:16 | 000,061,271 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Eigene Dateien\l_fe07526f46fc435f9b39785ee5c054b2.jpg
[2010.03.24 20:48:03 | 000,048,846 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Eigene Dateien\l_1936bead7660487191f25bf16a247947.jpg
[2010.03.23 21:24:18 | 084,722,220 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\Radical Face 'Welcome Home'.avi
[2010.03.23 21:07:19 | 000,000,906 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Desktop\DVDVideoSoft Free Studio.lnk
[2010.03.15 15:42:06 | 000,010,730 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Eigene Dateien\6-47be2cea7a5fa4a3.jpg
[2010.01.30 12:37:26 | 000,000,069 | ---- | C] () -- C:\Dokumente und Einstellungen\****\jagex_runescape_preferences2.dat
[2010.01.30 12:36:31 | 000,000,039 | ---- | C] () -- C:\Dokumente und Einstellungen\****\jagex_runescape_preferences.dat
[2010.01.22 03:33:06 | 000,041,872 | ---- | C] () -- C:\WINDOWS\System32\xfcodec.dll
[2009.12.22 22:40:30 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2009.11.29 17:25:11 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.11.24 17:03:06 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009.10.31 22:30:58 | 000,000,675 | RHS- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2009.10.30 20:43:12 | 000,000,258 | ---- | C] () -- C:\WINDOWS\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini
[2009.10.18 16:19:38 | 000,024,064 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.10.14 20:06:00 | 000,000,382 | ---- | C] () -- C:\WINDOWS\AvDetected.ini
[2009.10.13 15:14:25 | 000,147,456 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4957.dll
[2009.10.13 15:04:54 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\Desktop_.ini
[2009.10.13 14:54:22 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\****\ntuser.ini
[2009.10.13 14:54:21 | 000,266,240 | -H-- | C] () -- C:\Dokumente und Einstellungen\****\ntuser.dat.LOG
[2002.05.16 01:38:40 | 000,091,136 | ---- | C] () -- C:\WINDOWS\System32\mp4fil32.dll
[2002.05.04 15:19:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\avisynthEx.dll
[2002.04.21 20:30:14 | 000,151,552 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll
[2002.04.19 16:23:26 | 000,106,137 | ---- | C] () -- C:\WINDOWS\System32\libpostproc.dll
[2002.04.19 15:51:04 | 000,211,760 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2002.04.02 00:16:30 | 000,454,656 | ---- | C] () -- C:\WINDOWS\System32\VorbisEnc.dll
[2002.04.02 00:16:14 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2002.04.02 00:15:40 | 000,011,264 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll
[2002.02.21 18:41:20 | 000,157,184 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2001.06.22 13:06:02 | 000,167,936 | ---- | C] () -- C:\WINDOWS\System32\MPEG2DEC.dll
< End of report >


und

Code

OTL Extras logfile created on: 07.04.2010 22:46:44 - Run 1
OTL by OldTimer - Version 3.2.1.0     Folder = E:\****
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

953,00 Mb Total Physical Memory | 639,00 Mb Available Physical Memory | 67,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 1428 2856 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 101,36 Gb Free Space | 68,01% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 3,40 Gb Total Space | 3,39 Gb Free Space | 99,58% Space Free | Partition Type: FAT32
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ****
Current User Name: ****
Logged in as Administrator.

Current Boot Mode: SafeMode
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.js [@ = JSFile] -- C:\Programme\Panda Security\Panda Internet Security 2010\PAVSCRIP.EXE (Panda Security, S.L.)
.jse [@ = JSEFile] -- C:\Programme\Panda Security\Panda Internet Security 2010\PAVSCRIP.EXE (Panda Security, S.L.)
.vbe [@ = VBEFile] -- C:\Programme\Panda Security\Panda Internet Security 2010\PAVSCRIP.EXE (Panda Security, S.L.)
.vbs [@ = VBSFile] -- C:\Programme\Panda Security\Panda Internet Security 2010\PAVSCRIP.EXE (Panda Security, S.L.)
.wsf [@ = WSFFile] -- C:\Programme\Panda Security\Panda Internet Security 2010\PAVSCRIP.EXE (Panda Security, S.L.)
.wsh [@ = WSHFile] -- C:\Programme\Panda Security\Panda Internet Security 2010\PAVSCRIP.EXE (Panda Security, S.L.)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
jsfile [open] -- C:\PROGRA~1\PANDAS~1\PANDAI~2\PAVSCRIP.EXE "%1" %* (Panda Security, S.L.)
jsefile [open] -- C:\PROGRA~1\PANDAS~1\PANDAI~2\PAVSCRIP.EXE "%1" %* (Panda Security, S.L.)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
vbefile [open] -- C:\PROGRA~1\PANDAS~1\PANDAI~2\PAVSCRIP.EXE "%1" %* (Panda Security, S.L.)
vbsfile [open] -- C:\PROGRA~1\PANDAS~1\PANDAI~2\PAVSCRIP.EXE "%1" %* (Panda Security, S.L.)
wsffile [open] -- C:\PROGRA~1\PANDAS~1\PANDAI~2\PAVSCRIP.EXE "%1" %* (Panda Security, S.L.)
wshfile [open] -- C:\PROGRA~1\PANDAS~1\PANDAI~2\PAVSCRIP.EXE "%1" %* (Panda Security, S.L.)
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
"DisableMonitoring" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
"DisableMonitoring" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[color=#E56717]========== Authorized Applications List ==========[/color]


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{01521746-02A6-4A72-00BD-A285DF6B80C6}" = Die Sims 2: Wilde Campus-Jahre
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{0A35B15C-9CCD-4C0C-BD5B-34ABF8C95813}_is1" = ICQ 7.0 Build #1205 Banner Remover 0.7
"{0C34B801-6AEC-4667-B053-03A67E2D0415}" = Apple Application Support
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{153F839F-0A63-41D8-890F-7324C0E13743}" = Broadcom Driver v4.170.25.12_Foxconn Installation Program
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}" = Adobe WinSoft Linguistics Plugin
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1bba0956-bf4a-49eb-a91d-54fb7c124c4f}" = Nero 9 Trial
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{20BB7EE4-9750-4EAC-B202-7A79B12B6382}" = Panda Internet Security 2010
"{21199F32-B676-4FE2-A443-EF7DB6B8FD4F}" = Opera 10.10
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{33CF58F5-48D8-4575-83D6-96F574E4D83A}" = Nero DriveSpeed
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{359CFC0A-BEB1-440D-95BA-CF63A86DA34F}" = Nero Recode
"{368BA326-73AD-4351-84ED-3C0A7A52CC53}" = Nero Rescue Agent
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{43DCF766-6838-4F9A-8C91-D92DA586DFA8}" = Microsoft Windows-Journal-Viewer
"{43E39830-1826-415D-8BAE-86845787B54B}" = Nero Vision
"{4817189D-1785-4627-A33C-39FD90919300}" = Die Sims™ 2 Haustiere
"{487C555A-EAD4-40B7-A44B-ADD97BAC924D}" = LevelR
"{4eb2089b-8549-411b-9748-715d3f7927da}" =
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{595A3116-40BB-4E0F-A2E8-D7951DA56270}" = NeroExpress
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{62AC81F6-BDD3-4110-9D36-3E9EAAB40999}" = Nero CoverDesigner
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6ABE0BEE-D572-4FE8-B434-9E72A289431B}" = Adobe Fonts All
"{6BDD9CE6-D0A6-478A-BAD3-BA6945E89EB0}" = Die Sims 2: Family Fun - Accessoires
"{6BF04C63-EAC0-4F19-9E88-9A745493E7BF}" = IconPackager
"{6E7DD182-9FC6-4651-0095-2E666CC6AF35}" = Die Sims 2
"{7748AC8C-18E3-43BB-959B-088FAEA16FB2}" = Nero StartSmart
"{7829DB6F-A066-4E40-8912-CB07887C20BB}" = Nero BurnRights
"{789289CA-F73A-4A16-A331-54D498CE069F}" = Ventrilo Client
"{7926EFB6-7CB4-4A9D-AB01-095F67F9D519}" = Panda Internet Security 2010
"{7B3577F5-1D82-4C9B-008B-69D026FD8BCA}" = Die Sims 2: Open For Business
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{869200DB-287A-4DC0-B02B-2B6787FBCD4C}" = Nero DiscSpeed
"{8795CBED-55E2-4693-9F14-84EC446935BE}" = SpeechRedist
"{88EB38EF-4D2C-436D-ABD3-56B232674062}" = ICQ7
"{8A0BD487-D185-4316-92CE-9E415C3AC6DB}" = Sibelius Scorch (Firefox, Opera, Netscape only)
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9559F7CA-5E34-4237-A2D9-D856464AD727}" = Project64 1.6
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9C9824D9-9000-4373-A6A5-D0E5D4831394}" = Adobe Bridge CS3
"{9E82B934-9A25-445B-B8DF-8012808074AC}" = Nero PhotoSnap
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A209525B-3377-43F4-B886-32F6B6E7356F}" = Nero WaveEditor
"{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}" = Adobe CMaps
"{A2D81E70-2A98-4A08-A628-94388B063C5E}" = Adobe Color - Photoshop Specific
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}" = QuickTime
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}" = PDF Settings
"{AC76BA86-7AD7-1031-7B44-A92000000001}" = Adobe Reader 9.2 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B1ADF008-E898-4FE2-8A1F-690D9A06ACAF}" = DolbyFiles
"{B2EC4A38-B545-4A00-8214-13FE0E915E6D}" = Advertising Center
"{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}" = Adobe Camera Raw 4.0
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{B78120A0-CF84-4366-A393-4D0A59BC546C}" = Menu Templates - Starter Kit
"{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}" = Adobe Default Language CS3
"{BD5CA0DA-71AD-43DA-B19E-6EEE0C9ADC9A}" = Nero ControlCenter
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1157104-1574-4BD2-99C7-0AAB5DF4275F}" = Pirates of the Caribbean
"{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}" = Adobe ExtendScript Toolkit 2
"{C5A7CB6C-E76D-408F-BA0E-85605420FE9D}" = SoundTrax
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D025A639-B9C9-417D-8531-208859000AF8}" = NeroBurningROM
"{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}" = Adobe PDF Library Files
"{D9DCF92E-72EB-412D-AC71-3B01276E5F8B}" = Nero ShowTime
"{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}" = Adobe Color Common Settings
"{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}" = Adobe Color JA Extra Settings
"{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}" = Die Sims™ 2 Vier Jahreszeiten
"{E498385E-1C51-459A-B45F-1721E37AA1A0}" = Movie Templates - Starter Kit
"{E4A71A41-BCC8-480a-9E69-0DA29CBA7ECA}" = kikin Plugin (Murb.com Edition) 2.0
"{E8A80433-302B-4FF1-815D-FCC8EAC482FF}" = Nero Installer
"{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}" = Styler
"{ED00D08A-3C5F-488D-93A0-A04F21F23956}" = Windows Live Communications Platform
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F248ADFA-64E0-4b03-8A83-059078BED6A0}" = Die Sims™ 2 Gute Reise
"{F79AAB3A-B8B4-4AC7-94AB-1C4C076C6A89}" = The Simpsons Hit & Run(TM)
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"{FBCDFD61-7DCF-4E71-9226-873BA0053139}" = Nero InfoTool
"{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}" = Adobe Color NA Extra Settings
"ActiveScan 2.0" = Panda ActiveScan 2.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"[url="http://www.ccleaner.de"]CCleaner[/url]" = [url="http://www.ccleaner.de"]CCleaner[/url]
"Crayon Physics Deluxe Demo_is1" = Crayon Physics Deluxe Demo - release 52
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.2
"Free MSN Emoticons Pack 1_is1" = Free MSN Emoticons Pack 1
"Free YouTube Download_is1" = Free YouTube Download 2.3
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.2
"gelb 2 1.00" = gelb 2 1.00
"Google Desktop" = Google Desktop
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HijackThis" = HijackThis 2.0.2
"IconPackager" = IconPackager
"ICQToolbar" = ICQ Toolbar
"ie8" = Windows Internet Explorer 8
"LastFM_is1" = Last.fm 1.5.4.24567
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"mIRC" = mIRC
"Mozilla Firefox (3.6.2pre)" = Mozilla Firefox (3.6.2pre)
"Mp3tag" = Mp3tag v2.45a
"Mumble" = Mumble and Murmur
"MYLT Pro" = MYLT Pro
"NimoCorp" = Nimo Codecs Pack v5.0 (Remove Only)
"Soldat Beta_is1" = Soldat Beta 1.5.1
"Soldat_is1" = Soldat 1.5.0
"Starcraft" = Starcraft
"StyleXP" = StyleXP (remove only)
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"Thoosje Vista Sidebar" = Thoosje Vista Sidebar
"UltraStar" = UltraStar 0.7.0
"Uninstall_is1" = Uninstall 1.0.0.1
"UT2004" = Unreal Tournament 2004
"VLC media player" = VLC media player 1.0.2
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"Xfire" = Xfire (remove only)
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"NoNameScript" = NNScript
"sc10-DE_SEVENONE_MAIN" = Big Pizza Ski Challenge 2010
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"Winamp Detect" = Winamp Anwendungserkennung

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 01.04.2010 06:59:26 | Computer Name = **** | Source = Adobe Version Cue CS3 | ID = 3
Description =

Error - 01.04.2010 06:59:26 | Computer Name = **** | Source = Adobe Version Cue CS3 | ID = 3
Description =

Error - 01.04.2010 06:59:26 | Computer Name = ****3 | Source = Adobe Version Cue CS3 | ID = 3
Description =

Error - 01.04.2010 06:59:26 | Computer Name = **** | Source = Adobe Version Cue CS3 | ID = 3
Description =

Error - 01.04.2010 11:07:29 | Computer Name = **** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
Modul , Version 0.0.0.0, Fehleradresse 0x00000000.

Error - 03.04.2010 14:50:38 | Computer Name = **** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
Modul , Version 0.0.0.0, Fehleradresse 0x00000000.

Error - 03.04.2010 14:50:39 | Computer Name = **** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
Modul , Version 0.0.0.0, Fehleradresse 0x00000000.

Error - 07.04.2010 04:53:19 | Computer Name = **** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
Modul , Version 0.0.0.0, Fehleradresse 0x00000000.

Error - 07.04.2010 05:33:15 | Computer Name = **** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
Modul , Version 0.0.0.0, Fehleradresse 0x00000000.

Error - 07.04.2010 07:24:05 | Computer Name = **** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung pavscrip.exe, Version 9.7.11.1, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x3da277d0.

[ System Events ]
Error - 07.04.2010 14:59:47 | Computer Name = **** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}

Error - 07.04.2010 14:59:53 | Computer Name = **** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 07.04.2010 15:00:03 | Computer Name = **** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}

Error - 07.04.2010 15:00:37 | Computer Name = **** | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31

Error - 07.04.2010 15:00:37 | Computer Name = **** | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31

Error - 07.04.2010 15:00:37 | Computer Name = **** | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31

Error - 07.04.2010 15:00:37 | Computer Name = **** | Source = Service Control Manager | ID = 7001
Description = Der Dienst "##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##" ist
vom Dienst "TCP/IP-Protokolltreiber" abhängig, der aufgrund folgenden Fehlers nicht
gestartet wurde:   %%31

Error - 07.04.2010 15:00:37 | Computer Name = **** | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31

Error - 07.04.2010 15:00:37 | Computer Name = **** | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  APPFLT  DSAFLT  Fips  FNETMON  IDSFLT  intelppm  IPSec  MRxSmb  NetBIOS  NetBT  NETFLTDI  pavboot  RasAcd
Rdbss
ShldDrv
sptd
StyleXPHelper
Tcpip
WNMFLT
WS2IFSL

Error - 07.04.2010 16:13:54 | Computer Name = **** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}


< End of report >
War die ganze Zeit nicht am Netz , und im abgesicherten Modus. Habe mir die Dateien und deine Anleitung zuvor auf einen USB-Stick gezogen, und den dann verwendet.
Hoffe, du kannst mir nun weiterhelfen.
Seitenanfang Seitenende
07.04.2010, 23:39
Moderator

Beiträge: 5694
#6 Noch ein Log will ich dann beginnt die Reinigung ;)
Atapi sollte damit noch ersetzt werden:

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.
BleepingComputer
ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte füge das C:\ComboFix.txt Log in deiner Antwort im Forum bei, so dass wir uns diese analysieren können.




Und bitte poste mit noch das MAlwarebytes Log!!
Seitenanfang Seitenende
08.04.2010, 11:11
...neu hier

Themenstarter

Beiträge: 8
#7 Habe gerade ComboFix angeschmissen auf dem betroffenen PC. Da gibt's schon wieder das erste "Problem":

Erst mal musste ich kurz Wlan aktivieren, da er die Windows Wiederherstellugnskonsole herunterladen musste. Hab ich gleich danach wieder deaktiviert. Dann hat er angefangen zu suchen, meinte er habe etwas gefunden und müsse nun neustarten. Gut, OK geklickt. Dann - oh Wunder - er startete im normalen Modus! Aber zu früh gefreut, es kommt sofort wieder eine Meldung von ComboFix die in etwa lautete "Emulation Driver found! Must be disabled now!" , dann kam für ca. 1Sekunde ein Error, und er fuhr herunter und startete wieder.

Was soll ich jetzt tun? Ich glaub da liegt irgendein Problem mit meinem Deamon Tools vor!
Ich habe gestern auch noch vergessen zu erwähnen, dass ich nur in dem Abgesicherten Modus kommen, wenn ich "Press ESC to cancel loading SPTD.sys" betätige! Habe auch schon versucht, Daemon Tools zu deinstallieren, der Uninstaller bleibt jedoch bei ca. der Hälfte stehen und bewegt sich nicht mehr weiter.

Was soll ich jetzt tun?
Seitenanfang Seitenende
08.04.2010, 11:58
Moderator

Beiträge: 5694
#8 Werde mich am Abend wieder melden. Versuche es aber einmal so:

CD-Emulatoren mit DeFogger deaktivieren

Du hast CD-Emulatoren wie Alcohol, DaemonTools oder ähnliche auf diesem Computer installiert. Da
diese Emulatoren mit Rootkit-Technik arbeiten, können sie die Fahndung nach bösartigen Rootkits
verfälschen und erschweren. Aus diesem Grund bitte entweder das folgende Tool zum Deaktivieren
laufen lassen oder die Software über Systemsteuerung => Software/Programme deinstallieren.
Berichte mir, für welche Variante Du Dich entschieden hast. Die Deaktivierung können wir nach der
Bereinigung rückgängig machen.

Lade DeFogger herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.

• Es öffnet sich das Programm-Fenster des Tools.
• Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
• Klicke Ja, um fortzufahren.
• Wenn die Nachricht 'Finished!' erscheint,
• klicke OK.
• DeFogger wird nun einen Reboot erfragen - klicke OK
• Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird.

Nun versuche Combofix noch einmal.
Seitenanfang Seitenende
08.04.2010, 13:23
...neu hier

Themenstarter

Beiträge: 8
#9 Gute Nachrichten ! Ich bin soeben wieder in den normalen Modus gekommen, allerdings sind jetzt auch alle Programme wieder im Autostart, auch die, die ich eigentlich einmal rausgenommen habe (So Sachen wie icq.exe & co). Hat ewig gedauert, ComboFix lief derweil im Hintergrund weiter.

Hier die logs, die du noch brauchst:

Malewarebytes' Anti-Malware:

Code

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3962

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

07.04.2010 11:48:49
mbam-log-2010-04-07 (11-48-49).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 98398
Laufzeit: 4 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 109
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 18
Infizierte Dateien: 114

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0f8ecf4f-3646-4c3a-8881-8e138ffcaf70} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1e0de227-5ce4-4ea3-ab0c-8b03e1aa76bc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{3e720452-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7473d292-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7473d296-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{84da4fdf-a1cf-4195-8688-3e961f505983} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8e6f1832-9607-4440-8530-13be7c4b1d14} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{938aa51a-996c-4884-98ce-80dd16a5c9da} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{98d9753d-d73b-42d5-8c85-4469cda897ab} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a9571378-68a1-443d-b082-284f960c6d17} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{adb01e81-3c79-4272-a0f1-7b2be7a782dc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b813095c-81c0-4e40-aa14-67520372b987} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c9d7be3e-141a-4c85-8cd6-32461f3df2c7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{cff4ce82-3aa2-451f-9b77-7165605fb835} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d9fffb27-d62a-4d64-8cec-1ff006528805} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e79dfbca-5697-4fbd-94e5-5b2a9c7c1612} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{07b18ea0-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{0d26bc71-a633-4e71-ad31-eadc3a1b6a3a} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{29d67d3c-509a-4544-903f-c8c1b8236554} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{3e720450-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{7473d290-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{8ca01f0e-987c-49c3-b852-2f1ac4a7094c} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{8e6f1830-9607-4440-8530-13be7c4b1d14} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c8cecde3-1ae1-4c4a-ad82-6d5b00212144} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{d518921a-4a03-425e-9873-b9a71756821e} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e47caee0-deea-464a-9326-3f2801535a4d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e79dfbc0-5697-4fbd-94e5-5b2a9c7c1612} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{f42228fb-e84e-479e-b922-fbbd096e792c} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3e720452-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{98d9753d-d73b-42d5-8c85-4469cda897ab} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{e79dfbca-5697-4fbd-94e5-5b2a9c7c1612} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MyWebSearchService (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.datacontrol (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.datacontrol.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.historykillerscheduler (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.historykillerscheduler.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.historyswattercontrolbar (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.historyswattercontrolbar.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.htmlmenu (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.htmlmenu.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.htmlmenu.2 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.iecookiesmanager (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.iecookiesmanager.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.killerobjmanager (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.killerobjmanager.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.popswatterbarbutton (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.popswatterbarbutton.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.popswattersettingscontrol (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.popswattersettingscontrol.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.chatsessionplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.chatsessionplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.htmlpanel (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.htmlpanel.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.outlookaddin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.outlookaddin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearchtoolbar.settingsplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearchtoolbar.settingsplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearchtoolbar.toolbarplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearchtoolbar.toolbarplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\screensavercontrol.screensaverinstaller (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\screensavercontrol.screensaverinstaller.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Addins\MyWebSearch.OutlookAddin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Word\Addins\MyWebSearch.OutlookAddin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Media\WMSDK\Sources\f3popularscreensavers (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform\funwebproducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\ScreenSaver (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\ScreenSaver\Images (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\Shared (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\Shared\Cache (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\1.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Avatar (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Cache (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Game (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\History (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\icons (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Notifier (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Settings (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\MyWebSearch\bar\2.bin\MWSSRCAS.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3HISTSW.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3DTACTL.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3HTMLMU.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3HTML.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3POPSWT.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3SKIN.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3CJPEG.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3SCRCTR.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3OUTLCN.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3HTTPCT.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3MSG.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3REPROX.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\MWSOEPLG.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\plugins\NPMyWebS.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\f3PSSavr.scr (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\Shared\Cache\CursorManiaBtn.html (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\Shared\Cache\SmileyCentralBtn.html (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\Shared\Cache\WebfettiBtn.html (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3BKGERR.JPG (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3HKSTUB.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3PSSAVR.SCR (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3REGHK.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3RESTUB.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3SCHMON.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3SPACER.WMV (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3WALLPP.DAT (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\F3WPHOOK.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\FWPBUDDY.PNG (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3AUXSTB.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3DLGHK.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3FFXTBR.JAR (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3FFXTBR.MANIFEST (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3HIGHIN.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3IDLE.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3IMPIPE.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3MEDINT.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3NTSTBR.JAR (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3NTSTBR.MANIFEST (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3PLUGIN.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3SKPLAY.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3SLSRCH.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\M3SRCHMN.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\MWSOEMON.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\MWSOESTB.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\MWSSVC.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\2.bin\NPMYWEBS.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Avatar\COMMON.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Cache\00078D49.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Cache\00079A0B.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Cache\0007A21A.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Cache\000BFC4C (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Cache\00F492C7.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Cache\00F49576.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Cache\022930C2 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Cache\0229492C (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Cache\02295021.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Cache\02295580.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Cache\02295C56.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Cache\02296000.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Cache\files.ini (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Game\CHECKERS.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Game\CHESS.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Game\REVERSI.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\History\search3 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\icons\CM.ICO (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\icons\MFC.ICO (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\icons\PSS.ICO (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\icons\SMILEY.ICO (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\icons\WB.ICO (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\icons\ZWINKY.ICO (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\ask_logo.gif (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\autoup.gif (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\autoup.htm (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\center.htm (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\index.htm (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\logo_ZJ.png (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\logo_ZR.png (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\mid_dots.gif (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\mws_logo.gif (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\protect.htm (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\rebbtnbg.png (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\rebbtnn1.png (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\rebbtnn2.png (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\rebbtny1.png (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\rebbtny2.png (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\rebclose.png (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\rebut.htm (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\rebut2.htm (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\reb_bg.png (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\shocked.gif (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\stop.gif (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\systray.htm (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\systrayp.htm (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\tp_grad.gif (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Message\COMMON\warn.gif (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Notifier\COMMON.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Notifier\DOG.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Notifier\FISH.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Notifier\KUNGFU.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Notifier\LIFEGARD.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Notifier\MAID.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Notifier\MAILBOX.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Notifier\OPERA.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Notifier\ROBOT.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Notifier\SEDUCT.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Notifier\SURFER.F3S (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Settings\prevcfg2.htm (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyWebSearch\bar\Settings\s_pid.dat (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll (Trojan.Agent) -> Delete on reboot.
Defogger:

Code

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 12:26 on 08/04/2010 (****)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:DAEMON Tools Lite -> Removed

Checking for services/drivers...
SPTD -> Already disabled


-=E.O.F=-
Combofix:

Code

ComboFix 10-04-07.04 - **** 08.04.2010  12:46:41.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.953.587 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\toolname.exe
AV: Panda Internet Security 2010 *On-access scanning enabled* (Updated) {4570FB70-5C9E-47E9-B16C-A3A6A06C4BF0}
FW: Panda Personal Firewall 2010 *enabled* {7B090DC0-8905-4BAF-8040-FD98A41C8FB8}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Dokumente\Settings
c:\windows\desktop
c:\windows\system32\bcmwl5.inf

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it :p wurde wiederhergestellt
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MYWEBSEARCHSERVICE


(((((((((((((((((((((((   Dateien erstellt von 2010-03-08 bis 2010-04-08  ))))))))))))))))))))))))))))))
.

2010-04-07 11:23 . 2010-04-07 11:31    --------    d-----w-    C:\Lop SD
2010-04-07 09:54 . 2010-04-07 09:54    --------    d-----w-    C:\rsit
2010-04-07 09:42 . 2010-04-07 09:42    140288    ----a-w-    c:\windows\system32\drivers\ethagdgk.sys
2010-04-07 09:42 . 2010-04-07 09:42    --------    d-----w-    c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2010-04-07 09:42 . 2010-03-29 22:46    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-07 09:41 . 2010-04-07 09:42    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-04-07 09:41 . 2010-04-07 09:41    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-07 09:41 . 2010-03-29 22:45    20824    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-04-01 13:09 . 2010-04-01 13:09    --------    d-sh--w-    c:\windows\system32\config\systemprofile\IETldCache
2010-03-31 20:18 . 2010-03-31 20:18    --------    d-----w-    c:\programme\Trend Micro
2010-03-31 19:37 . 2010-03-31 19:37    --------    d-----w-    c:\windows\system32\wbem\Repository
2010-03-31 19:31 . 2010-03-31 19:31    --------    d-----w-    C:\found.000
2010-03-31 16:21 . 2010-03-31 16:21    2944    ----a-w-    c:\windows\system32\drivers\ldnpw.sys
2010-03-31 10:27 . 2010-03-31 19:37    --------    d-----w-    c:\programme\Crayon Physics Deluxe
2010-03-23 18:28 . 2010-03-23 18:28    --------    d-----w-    c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Google
2010-03-23 18:28 . 2010-03-23 18:28    --------    d-----w-    c:\programme\Google
2010-03-14 16:59 . 2010-03-14 16:59    --------    d-----w-    c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\TeamSpeak 3 Client
2010-03-10 20:32 . 2009-10-23 15:28    3558912    -c----w-    c:\windows\system32\dllcache\moviemk.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-08 11:03 . 2009-10-14 18:15    1132    ----a-w-    c:\windows\system32\drivers\APPFLTR.CFG.bck
2010-04-08 11:03 . 2009-10-14 18:15    1132    ----a-w-    c:\windows\system32\drivers\APPFLTR.CFG
2010-04-08 11:02 . 2009-10-14 18:15    383396    ----a-w-    c:\windows\system32\drivers\APPFCONT.DAT.bck
2010-04-08 11:02 . 2009-10-14 18:15    383396    ----a-w-    c:\windows\system32\drivers\APPFCONT.DAT
2010-04-08 11:01 . 2010-02-13 21:22    --------    d-----w-    c:\programme\Steam
2010-04-08 10:49 . 2004-08-04 12:00    84524    ----a-w-    c:\windows\system32\perfc007.dat
2010-04-08 10:49 . 2004-08-04 12:00    459066    ----a-w-    c:\windows\system32\perfh007.dat
2010-04-07 11:22 . 2009-10-13 14:29    --------    d-----w-    c:\programme\DAEMON Tools Toolbar
2010-04-01 13:04 . 2009-10-13 13:19    --------    d-----w-    c:\programme\Panda Security
2010-03-31 19:37 . 2009-10-13 13:58    --------    d-----w-    c:\dokumente und einstellungen\****\Anwendungsdaten\NoNameScript
2010-03-31 19:37 . 2009-10-13 13:57    --------    d-----w-    c:\dokumente und einstellungen\****\Anwendungsdaten\mIRC
2010-03-31 16:20 . 2010-03-31 16:20    28515    ----a-w-    c:\windows\system32\12C.tmp
2010-03-31 16:19 . 2010-03-31 16:19    124    ----a-w-    c:\windows\system32\126.tmp
2010-03-31 16:05 . 2009-10-13 13:57    --------    d-----w-    c:\programme\mIRC
2010-03-31 13:45 . 2010-01-15 16:48    --------    d-----w-    c:\dokumente und einstellungen\****\Anwendungsdaten\Crayon Physics Deluxe
2010-03-26 16:34 . 2009-10-13 13:43    --------    d-----w-    c:\dokumente und einstellungen\****\Anwendungsdaten\ICQ
2010-03-24 17:48 . 2009-10-26 15:35    --------    d-----w-    c:\dokumente und einstellungen\****\Anwendungsdaten\vlc
2010-03-23 19:07 . 2009-10-23 14:52    --------    d-----w-    c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-03-23 19:07 . 2009-10-23 14:52    --------    d-----w-    c:\programme\DVDVideoSoft
2010-03-12 18:25 . 2009-12-02 19:54    --------    d-----w-    c:\programme\DivX
2010-03-12 16:06 . 2010-03-08 16:39    --------    d-----w-    c:\programme\Gemeinsame Dateien\DivX Shared
2010-03-07 13:35 . 2010-03-07 13:35    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Musicnotes
2010-03-07 13:35 . 2009-10-23 16:00    40152    ----a-w-    c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-05 16:19 . 2010-03-05 16:19    --------    d-----w-    c:\dokumente und einstellungen\****\Anwendungsdaten\Sibelius Software
2010-03-05 16:18 . 2010-03-05 16:18    --------    d-----w-    c:\programme\Sibelius Software
2010-03-03 16:22 . 2009-10-13 13:47    --------    d-----w-    c:\dokumente und einstellungen\****\Anwendungsdaten\kikin
2010-03-02 18:39 . 2009-10-13 13:47    --------    d-----w-    c:\programme\kikin
2010-02-27 10:27 . 2010-02-13 14:10    --------    d-----w-    c:\programme\Audiosurf
2010-02-25 06:15 . 2004-08-04 12:00    916480    ----a-w-    c:\windows\system32\wininet.dll
2010-02-18 15:31 . 2010-02-18 15:31    --------    d-----w-    c:\programme\Bethesda Softworks
2010-02-17 20:11 . 2010-02-17 20:11    275    ----a-w-    c:\windows\EReg077.dat
2010-02-14 16:25 . 2009-10-13 12:57    --------    d--h--w-    c:\programme\InstallShield Installation Information
2010-02-13 20:56 . 2010-02-13 20:56    --------    d-----w-    c:\programme\Gemeinsame Dateien\Thraex Software
2010-02-13 15:53 . 2009-10-16 14:52    --------    d-----w-    c:\dokumente und einstellungen\****\Anwendungsdaten\Xfire
2010-02-12 18:22 . 2009-10-16 14:51    --------    d-----w-    c:\programme\Xfire
2010-01-30 10:37 . 2010-01-30 10:37    69    ----a-w-    c:\dokumente und einstellungen\****\jagex_runescape_preferences2.dat
2010-01-30 10:37 . 2010-01-30 10:36    39    ----a-w-    c:\dokumente und einstellungen\****\jagex_runescape_preferences.dat
2010-01-22 01:33 . 2010-01-22 01:33    41872    ----a-w-    c:\windows\system32\xfcodec.dll
2010-03-23 18:28 . 2010-03-23 18:28    119808    ----a-w-    c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
2009-08-09 00:11 . 2009-08-09 00:11    10437264    ----a-w-    c:\programme\mozilla firefox\plugins\PDFNetC.dll
2009-08-09 00:30 . 2009-08-09 00:30    107760    ----a-w-    c:\programme\mozilla firefox\plugins\ScorchPDFWrapper.dll
2009-08-09 00:11 . 2009-08-09 00:11    10437264    ----a-w-    c:\programme\opera\program\plugins\PDFNetC.dll
2009-08-09 00:30 . 2009-08-09 00:30    107760    ----a-w-    c:\programme\opera\program\plugins\ScorchPDFWrapper.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="c:\programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160]
"Steam"="c:\programme\Steam\Steam.exe" [2010-04-08 1217872]
"Pando Media Booster"="c:\programme\Pando Networks\Media Booster\PMB.exe" [2009-12-29 2935480]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"ICQ"="c:\programme\ICQ7.0\ICQ.exe" [2010-01-12 133368]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\programme\Realtek\Audio\InstallShield\AzMixerSel.exe" [2006-07-18 53248]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-02-22 1032192]
"APVXDWIN"="c:\programme\Panda Security\Panda Internet Security 2010\APVXDWIN.EXE" [2009-06-05 574720]
"SCANINICIO"="c:\programme\Panda Security\Panda Internet Security 2010\Inicio.exe" [2009-04-21 56064]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2010-03-23 30192]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-12-21 39424]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-17 149280]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-13 16871936]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-09-04 417792]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-17 141848]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-17 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-17 170520]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\****\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
Styler.lnk - c:\dokumente und einstellungen\****\Anwendungsdaten\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe [2009-10-27 15086]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
2008-03-18 14:58    58672    ----a-w-    c:\windows\system32\avldr.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PskSvcRetail]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=

R0 pavboot;Panda boot driver;c:\windows\system32\drivers\pavboot.sys [14.10.2009 20:12 28552]
R1 APPFLT;App Filter Plugin;c:\windows\system32\drivers\APPFLT.SYS [14.10.2009 20:15 73728]
R1 DSAFLT;DSA Filter Plugin;c:\windows\system32\drivers\dsaflt.sys [14.10.2009 20:15 52992]
R1 FNETMON;NetMon Filter Plugin;c:\windows\system32\drivers\fnetmon.sys [14.10.2009 20:15 22072]
R1 IDSFLT;Ids Filter Plugin;c:\windows\system32\drivers\idsflt.sys [14.10.2009 20:15 193792]
R1 NETFLTDI;Panda Net Driver [TDI Layer];c:\windows\system32\drivers\NETFLTDI.SYS [14.10.2009 20:15 158848]
R1 ShldDrv;Panda File Shield Driver;c:\windows\system32\drivers\ShlDrv51.sys [14.10.2009 20:11 41144]
R1 WNMFLT;Wifi Monitor Filter Plugin;c:\windows\system32\drivers\wnmflt.sys [14.10.2009 20:15 46720]
R2 Gwmsrv;Panda Goodware Cache Manager;c:\windows\system32\svchost -k Panda --> c:\windows\system32\svchost -k Panda [?]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [13.10.2009 15:44 246520]
R2 PavProc;Panda Process Protection Driver;c:\windows\system32\drivers\PavProc.sys [14.10.2009 20:11 177416]
R2 PskSvcRetail;Panda PSK service;c:\programme\Panda Security\Panda Internet Security 2010\psksvc.exe [14.10.2009 20:15 28928]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [13.10.2009 15:02 108032]
R3 NETIMFLT01060034;PANDA NDIS IM Filter Miniport v1.6.0.34;c:\windows\system32\drivers\neti1634.sys [14.10.2009 20:14 197888]
R3 PavTPK.sys;PavTPK.sys;\??\c:\windows\system32\PavTPK.sys --> c:\windows\system32\PavTPK.sys [?]
S1 ethagdgk;ethagdgk;c:\windows\system32\drivers\ethagdgk.sys [07.04.2010 11:42 140288]
S3 DMSKSSRh;DMSKSSRh;\??\c:\dokume~1\****\LOKALE~1\Temp\DMSKSSRh.sys --> c:\dokume~1\****\LOKALE~1\Temp\DMSKSSRh.sys [?]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [23.03.2010 20:28 30192]
S3 zlportio;zlportio;\??\c:\dokumente und einstellungen\****\Desktop\ULTRASTAR\zlportio.sys --> c:\dokumente und einstellungen\*****\Desktop\ULTRASTAR\zlportio.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [13.10.2009 16:25 722416]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
panda    REG_MULTI_SZ       Gwmsrv
.
Inhalt des "geplante Tasks" Ordners

2009-10-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-04-08 c:\windows\Tasks\User_Feed_Synchronization-{DA5AAAD5-6865-490C-90AD-E6D123EE9ECD}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: {{88EB38EF-4D2C-436D-ABD3-56B232674062} - c:\programme\ICQ7.0\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ynch7gk9.default\
FF - plugin: c:\programme\Mozilla Firefox\plugins\npmusicn.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\programme\Opera\program\plugins\NPSibelius.dll
FF - plugin: c:\programme\Opera\program\plugins\NPSibelius.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
.
------- Dateityp-Verknüpfung -------
.
JSEFile=c:\progra~1\PANDAS~1\PANDAI~2\PAVSCRIP.EXE "%1" %*
VBEFile=c:\progra~1\PANDAS~1\PANDAI~2\PAVSCRIP.EXE "%1" %*
VBSFile=c:\progra~1\PANDAS~1\PANDAI~2\PAVSCRIP.EXE "%1" %*
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-08 12:59
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-823518204-436374069-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,15"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="c:\\WINDOWS\\system32\\SHELL32.dll,17"
"{208D2C60-3AEA-1069-A2D7-08002B30309D}"="c:\\WINDOWS\\system32\\SHELL32.dll,17"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,22"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,23"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,24"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="c:\\WINDOWS\\system32\\shell32.dll,-175"
"{21EC2020-3AEA-1069-A2DD-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,-137"
"{2227A280-3AEA-1069-A2DE-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,-138"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="c:\\WINDOWS\\system32\\shell32.dll,38"
"AudioCD"="c:\\WINDOWS\\System32\\shell32.dll,40"
"{FBF23B42-E3F0-101B-8488-00AA003E56F8}"="c:\\WINDOWS\\system32\\shell32.dll,220"
"{450D8FBA-AD25-11D0-98A8-0800361B1103}"="c:\\WINDOWS\\system32\\mydocs.dll,0"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="c:\\WINDOWS\\system32\\main.cpl,10"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="c:\\WINDOWS\\system32\\wiashext.dll,0"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="c:\\WINDOWS\\system32\\mstask.dll,-100"
"{88C6C381-2E85-11D0-94DE-444553540000}"="c:\\WINDOWS\\System32\\occache.dll,0"
"{BDEADF00-C265-11d0-BCED-00A0C90AB50F}"="c:\\Programme\\COMMON~1\\MICROS~1\\WEBFOL~1\\MSONSEXT.DLL,0"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="c:\\WINDOWS\\System32\\shdocvw.dll,-20785"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="c:\\WINDOWS\\System32\\webcheck.dll,0"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="c:\\WINDOWS\\system32\\syncui.dll,0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1232)
c:\windows\system32\avldr.dll

- - - - - - - > 'explorer.exe'(2284)
c:\programme\Panda Security\Panda Internet Security 2010\pavoepl.dll
c:\programme\Styler\StylerHelper.dll
c:\windows\system32\webcheck.dll
c:\programme\Stardock\Object Desktop\IconPackager\iprepair.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Panda Security\Panda Internet Security 2010\TPSrv.exe
c:\programme\TGTSoft\StyleXP\StyleXPService.exe
c:\programme\PANDA SECURITY\PANDA INTERNET SECURITY 2010\WebProxy.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
c:\programme\Panda Security\Panda Internet Security 2010\PsCtrls.exe
c:\programme\Panda Security\Panda Internet Security 2010\PavFnSvr.exe
c:\programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe
c:\programme\panda security\panda internet security 2010\firewall\PSHOST.EXE
c:\programme\Panda Security\Panda Internet Security 2010\PsImSvc.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Panda Security\Panda Internet Security 2010\pavsrv51.exe
c:\programme\Panda Security\Panda Internet Security 2010\AVENGINE.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\Styler\Styler.exe
c:\programme\Panda Security\Panda Internet Security 2010\SRVLOAD.EXE
c:\programme\Panda Security\Panda Internet Security 2010\PavBckPT.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\dokume~1\****\LOKALE~1\Temp\RtkBtMnt.exe
c:\programme\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-08  13:09:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-04-08 11:09

Vor Suchlauf: 15 Verzeichnis(se), 108.679.929.856 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 108.509.368.320 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 9A8FB66CF95279BBD0E2B3844CEE3BE0
Hoffentlich kriegen wir das "böse Ding" noch ganz weg. Aber wie gesagt, ich komme nun wieder in den normalen Modus.
Seitenanfang Seitenende
08.04.2010, 13:32
Moderator

Beiträge: 5694
#10 Da sind wir ja auf dem Weg zur Besserung ;) Bitte mache nichts auf eigene Faust bis ich mich wieder melde. Dies wird so gegen 17Uhr sein. ;)
Seitenanfang Seitenende
08.04.2010, 13:39
...neu hier

Themenstarter

Beiträge: 8
#11 Okay alles klar, warte auf weitere Anweisungen des Masters :-)
Seitenanfang Seitenende
08.04.2010, 16:58
Moderator

Beiträge: 5694
#12 Schritt 1

Java aktualisieren

Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu.

Downloade nun die Offline-Version von Java (Java SE Runtime Environment (JRE) 6 Update 19) von SUN. Wenn Du auf Download geklickt hast, erscheint eine Seite, wo Du das Betriebssystem auswählen musst (also Windows) und ein Häkchen bei "I agree" setzen musst. Dann auf den Button "Continue" klicken. Dort die jre-6u19-windows-i586.exe downloaden und anschließend installieren, eventuell angebotene Toolbars nicht mitinstallieren.

Schritt 2

Datei-Überprüfung

Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Senden der Datei" nach VirusTotal hochladen und prüfen lassen. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Analysiere die Datei" erneut prüfen.

Wenn das Ergebnis vorliegt, den kleinen Button "Filter" links oberhalb der Ergebnisse drücken, dann das Ergebnis (egal wie es aussieht und dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren) hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.

Zitat

C:\WINDOWS\System32\drivers\ldnpw.sys
C:\WINDOWS\system32\drivers\ethagdgk.sys
Schritt 3

Downloade Deljob und speichere es auf Deinem Desktop.

• Schließe alle laufenden Programme, da das Tool den Rechner neu starten wird.
• Doppelklick Deljob.exe
• Ein logfile wird sich oeffnen (logit.txt)
• Kopiere den Inhalt des Berichts “logit.txt” in diesen Thread



Schritt 4

SDFix anwenden

Lade das Tool SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.

• Mach einen Doppelklick auf die Datei [B]SDFix.exe
, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
• Starte deinen Rechner neu auf, in den abgesicherten Modus (Tipps & Tricks: TIPP 4).
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

Schritt 5

Eset Online Scanner (NOD32)
• Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Voraussetzung: Internet Explorer (IE) 5.0 oder höher
• Haken bei "YES, I accept the Terms of Use" machen
• Start
• ActiveX-Steuerelement installieren
• Start
• Signaturen werden heruntergeladen
• Haken machen bei "Remove found threads"
• Haken machen bei "Remove found threads" und "Scan unwanted applications"
• Scan
• Scanende
• Browser schließen
• Explorer öffnen
• C:\Programme\EsetOnlineScanner\log.txt
• Log hier posten
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner entfernen.
• mit HJT folgenden Eintrag fixen:
• O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B}

Schritt 6

Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT

.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.
Seitenanfang Seitenende
08.04.2010, 17:45
...neu hier

Themenstarter

Beiträge: 8
#13 Also...
1) Java erfolgreich aktualisiert!

2) Analyse von Datei:

Code

Datei ldnpw.sys empfangen 2010.04.08 15:23:25 (UTC)
Antivirus    Version    letzte aktualisierung    Ergebnis
a-squared    4.5.0.50    2010.04.08    -
AhnLab-V3    5.0.0.2    2010.04.08    -
AntiVir    7.10.6.48    2010.04.08    -
Antiy-AVL    2.0.3.7    2010.04.08    -
Authentium    5.2.0.5    2010.04.08    -
Avast    4.8.1351.0    2010.04.08    -
Avast5    5.0.332.0    2010.04.08    -
AVG    9.0.0.787    2010.04.08    -
BitDefender    7.2    2010.04.08    -
CAT-QuickHeal    10.00    2010.04.08    -
ClamAV    0.96.0.3-git    2010.04.08    -
Comodo    4539    2010.04.08    -
DrWeb    5.0.2.03300    2010.04.08    -
eSafe    7.0.17.0    2010.04.08    -
eTrust-Vet    35.2.7414    2010.04.08    -
F-Prot    4.5.1.85    2010.04.07    -
F-Secure    9.0.15370.0    2010.04.08    -
Fortinet    4.0.14.0    2010.04.08    -
GData    19    2010.04.08    -
Ikarus    T3.1.1.80.0    2010.04.08    -
Jiangmin    13.0.900    2010.04.08    -
Kaspersky    7.0.0.125    2010.04.08    -
McAfee-GW-Edition    6.8.5    2010.04.08    -
Microsoft    1.5605    2010.04.08    -
NOD32    5010    2010.04.08    -
Norman    6.04.11    2010.04.08    -
nProtect    2009.1.8.0    2010.04.06    -
Panda    10.0.2.2    2010.04.07    -
PCTools    7.0.3.5    2010.04.08    -
Prevx    3.0    2010.04.08    -
Rising    22.42.03.03    2010.04.08    -
Sophos    4.52.0    2010.04.08    -
Sunbelt    6151    2010.04.08    -
Symantec    20091.2.0.41    2010.04.08    -
TheHacker    6.5.2.0.257    2010.04.08    -
TrendMicro    9.120.0.1004    2010.04.08    -
VBA32    3.12.12.4    2010.04.05    -
ViRobot    2010.4.8.2267    2010.04.08    -
VirusBuster    5.0.27.0    2010.04.08    -
weitere Informationen
File size: 2944 bytes
MD5...: 8f5fcff8e8848afac920905fbd9d33c8
SHA1..: ced162d79f69003c470ce6a84bed2fc18e1693da
SHA256: c8c6fb97ab0871c8c88a2201525a5cf10d5131cb6980d32692ed7a8f58399ad5
ssdeep: 24:eNGSnJvlTFkICHbq3YkyI6bEKRaXtqryVAW40IZW0FH8aiOzNT6JOAD+35WWd<br>POT:avdYisUq2A4IZWGH85+TEDs5WwG2<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x505<br>timedatestamp.....: 0x480254b9 (Sun Apr 13 18:45:13 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x300 0xc 0x80 0.33 7563b06056491c31b84b4e1f4cfb444b<br>.rdata 0x380 0x70 0x80 3.05 ee89fa30024a67045e01c9a4298dfc05<br>.data 0x400 0xc 0x80 0.38 0c41a08c90a7d5e81bf065649ebabedc<br>PAGE 0x480 0x32 0x80 2.26 ead7a9a2ffedfb05fa1cd035e498f828<br>INIT 0x500 0x112 0x180 3.41 475907376126705251b3f26488d9b643<br>.rsrc 0x680 0x418 0x480 3.20 02ebdc17b73c798e675149fc404326c3<br>.reloc 0xb00 0x2e 0x80 1.32 7bd6fcd334bc5c36ea4d4254d1afef88<br><br>( 3 imports ) <br>&gt; ntoskrnl.exe: KeTickCount<br>&gt; ks.sys: KsInitializeDriver<br>&gt; drmk.sys: DrmGetFilterDescriptor<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
sigcheck:<br>publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. All rights reserved.<br>product......: Microsoft_ Windows_ Operating System<br>description..: Microsoft Kernel DRM Audio Descrambler Filter<br>original name: drmkaud.sys<br>internal name: drmkaud.sys<br>file version.: 5.1.2600.5512 (xpsp.080413-2108)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
trid..: Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
packers (Kaspersky): PE_Patch
und

Code

Datei ethagdgk.sys empfangen 2010.04.08 15:26:26 (UTC)
Antivirus    Version    letzte aktualisierung    Ergebnis
a-squared    4.5.0.50    2010.04.08    -
AhnLab-V3    5.0.0.2    2010.04.08    -
AntiVir    7.10.6.48    2010.04.08    TR/Rootkit.Gen
Antiy-AVL    2.0.3.7    2010.04.08    -
Authentium    5.2.0.5    2010.04.08    -
Avast    4.8.1351.0    2010.04.08    -
Avast5    5.0.332.0    2010.04.08    -
AVG    9.0.0.787    2010.04.08    -
BitDefender    7.2    2010.04.08    -
CAT-QuickHeal    10.00    2010.04.08    -
ClamAV    0.96.0.3-git    2010.04.08    -
Comodo    4539    2010.04.08    -
DrWeb    5.0.2.03300    2010.04.08    -
eSafe    7.0.17.0    2010.04.08    -
eTrust-Vet    35.2.7414    2010.04.08    -
F-Prot    4.5.1.85    2010.04.07    -
F-Secure    9.0.15370.0    2010.04.08    -
Fortinet    4.0.14.0    2010.04.08    -
GData    19    2010.04.08    -
Ikarus    T3.1.1.80.0    2010.04.08    -
Jiangmin    13.0.900    2010.04.08    -
Kaspersky    7.0.0.125    2010.04.08    -
McAfee-GW-Edition    6.8.5    2010.04.08    Trojan.Rootkit.Gen
Microsoft    1.5605    2010.04.08    -
NOD32    5010    2010.04.08    -
Norman    6.04.11    2010.04.08    -
nProtect    2009.1.8.0    2010.04.06    -
Panda    10.0.2.2    2010.04.07    -
PCTools    7.0.3.5    2010.04.08    -
Prevx    3.0    2010.04.08    -
Rising    22.42.03.03    2010.04.08    -
Sophos    4.52.0    2010.04.08    -
Sunbelt    6151    2010.04.08    -
Symantec    20091.2.0.41    2010.04.08    Suspicious.Insight
TheHacker    6.5.2.0.257    2010.04.08    -
TrendMicro    9.120.0.1004    2010.04.08    -
VBA32    3.12.12.4    2010.04.05    -
ViRobot    2010.4.8.2267    2010.04.08    -
VirusBuster    5.0.27.0    2010.04.08    -
weitere Informationen
File size: 140288 bytes
MD5...: ce0c486bae5b711cd7d555d2e195b94a
SHA1..: de88318c3ac63c06e661fa8be02f00c3a4f25433
SHA256: d94916b6b7f081f040526fbfd7e4f8667690cbbeaa8ca9b4ee0e85dddd9e5e43
ssdeep: 3072:fLZ++h94Z8Lqp2m4G+Fr8eu88lcygFNQnwMnbPwmmdRTvyLL9:fl+C9UWS+<br>N3zrFNQ7nbP7qRTqLZ<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1000<br>timedatestamp.....: 0x4bbc4f71 (Wed Apr 07 09:25:05 2010)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x21250 0x21400 7.85 e6b14e0a6b8410e60ee3c4d555302569<br>.data 0x23000 0x80 0x200 1.08 6a0fe3377ede00a72bac29b83b768f75<br>.rdata 0x24000 0x8 0x200 0.10 58919c55dfe1e1d8574463570f34ae8c<br>.edata 0x25000 0x4d 0x200 0.95 14912947e9bde8d54d53c26926c95f61<br>.idata 0x26000 0x298 0x400 3.54 72a32f02f600eadfc8a5b0e6ea69ee52<br>.reloc 0x27000 0x74 0x200 1.74 87b24ad0f52d5a59dadf79bfda1b98bd<br><br>( 2 imports ) <br>&gt; ntoskrnl.exe: DbgPrint, ExAllocatePoolWithTag, ExFreePoolWithTag, IoGetCurrentProcess, KeBugCheckEx, KeQueryTimeIncrement, KeTickCount, MmMapLockedPagesSpecifyCache, ObReferenceObjectByHandle, ObfReferenceObject, RtlAnsiCharToUnicodeChar, ZwQuerySystemInformation, _except_handler3, strncpy, strstr, wcsncpy<br>&gt; ntoskrnl.exe: ExAllocatePoolWithTag<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Win16/32 Executable Delphi generic (33.9%)<br>Generic Win/DOS Executable (32.7%)<br>DOS Executable Generic (32.7%)<br>VXD Driver (0.5%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
3)Deljob ausgeführt, Log erhalten, musste aber nicht neustarten

Code

-------------------------------------------------------- 
No LOP job-files found
--------------------------------------------------------
Files in Windows Tasks folder

AppleSoftwareUpdate.job
User_Feed_Synchronization-{DA5AAAD5-6865-490C-90AD-E6D123EE9ECD}.job
--------------------------------------------------------
Export App Data folders
--------------------------------------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 085B-D20C

Verzeichnis von C:\Dokumente und Einstellungen\****\Anwendungsdaten

08.04.2010  11:02    <DIR>                       .
08.04.2010  11:02    <DIR>                       ..
04.04.2010  14:57    <DIR>                       Adobe
20.11.2009  18:37    <DIR>          APPLEC~1     Apple Computer
31.03.2010  15:45    <DIR>          CRAYON~1     Crayon Physics Deluxe
13.10.2009  16:43    <DIR>          DAEMON~2     DAEMON Tools Lite
13.10.2009  16:25    <DIR>          DAEMON~1     DAEMON Tools Pro
07.11.2009  19:26    <DIR>                       DivX
15.12.2009  20:45    <DIR>                       dvdcss
08.04.2010  13:14    <DIR>                       ICQ
13.10.2009  14:54    <DIR>          IDENTI~1     Identities
13.10.2009  15:04    <DIR>          INSTAL~1     InstallShield
03.03.2010  18:22    <DIR>                       kikin
13.10.2009  15:44    <DIR>          MACROM~1     Macromedia
07.04.2010  11:42    <DIR>          MALWAR~1     Malwarebytes
05.12.2009  12:22    <DIR>                       McLoad
23.12.2009  13:22    <DIR>          MICROS~1     Microsoft
31.03.2010  21:37    <DIR>                       mIRC
13.10.2009  15:34    <DIR>                       Mozilla
15.12.2009  19:09    <DIR>                       Mp3tag
24.11.2009  21:38    <DIR>                       Mumble
18.12.2009  14:13    <DIR>                       Nero
08.04.2010  13:33    <DIR>          NONAME~1     NoNameScript
13.11.2009  17:32    <DIR>          OPENOF~1.ORG OpenOffice.org
02.12.2009  19:47    <DIR>                       Opera
14.10.2009  20:14    <DIR>          PANDAS~1     Panda Security
05.03.2010  18:19    <DIR>          SIBELI~1     Sibelius Software
13.10.2009  16:50    <DIR>                       Soldat
27.10.2009  17:04    <DIR>                       Styler
17.10.2009  20:01    <DIR>                       Sun
27.01.2010  20:51    <DIR>          TEAMSP~1     teamspeak2
19.12.2009  17:53    <DIR>          TEEWOR~1     Teeworlds
30.10.2009  21:20    <DIR>                       Ventrilo
08.04.2010  15:30    <DIR>                       vlc
22.12.2009  17:33    <DIR>                       Winamp
13.10.2009  16:33    <DIR>                       WinRAR
13.02.2010  17:53    <DIR>                       Xfire
               0 Datei(en)              0 Bytes
              39 Verzeichnis(se), 110.723.059.712 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 085B-D20C

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

08.04.2010  13:38    <DIR>                       .
08.04.2010  13:38    <DIR>                       ..
30.10.2009  20:32    <DIR>                       Adobe
22.10.2009  21:23    <DIR>                       Apple
22.10.2009  21:23    <DIR>          APPLEC~1     Apple Computer
13.10.2009  15:19    <DIR>                       Backup
13.10.2009  15:04    <DIR>                       Broadcom
13.10.2009  16:35    <DIR>          DAEMON~2     DAEMON Tools Lite
13.10.2009  16:27    <DIR>          DAEMON~1     DAEMON Tools Pro
30.10.2009  20:35    <DIR>                       FLEXnet
02.02.2010  17:42    <DIR>                       ICQ
30.12.2009  17:49    <DIR>                       Last.fm
07.04.2010  11:41    <DIR>          MALWAR~1     Malwarebytes
09.11.2009  17:39    <DIR>          MICROS~1     Microsoft
07.03.2010  15:35    <DIR>          MUSICN~1     Musicnotes
23.10.2009  17:41    <DIR>                       Nero
14.10.2009  18:44    <DIR>                       NOS
14.10.2009  20:14    <DIR>          PANDAS~1     Panda Security
29.12.2009  18:37    <DIR>          PMBFIL~1     PMB Files
13.10.2009  15:21    <DIR>                       sentinel
08.04.2010  13:38    <DIR>                       Sun
31.10.2009  12:13    <DIR>          {B98A2~1     {B98A2B83-8BB0-42E7-AA1D-D6FA6E7C8F31}
               0 Datei(en)              0 Bytes
              22 Verzeichnis(se), 110.723.055.616 Bytes frei
--------------------------------------------------------
All User Accounts
--------------------------------------------------------
All Users
****
--------------------------------------------------------
4) Dein Link ist leider fehlerhaft, ich wollte keine falsche Version ausprobieren, also
lass mir bitte einen anderen zukommen :-)

5) Scannt gerade, wird noch dauern

6) Folgt danach

Wollte nur jetzt schona antworten, damit du den Link zu 4. noch fixen kannst, und die die Logs anschauen kannst !
Seitenanfang Seitenende
08.04.2010, 17:49
Member

Beiträge: 327
#14 Beim TB gab es keine Hilfe mehr, es wurde über Keygens geredet. Na, dann zieht man um. ;)

wer es lesen möchte: Dringendes, unbekanntes Virenproblem; Computer startet nicht mehr
__________
darknight, die wo anders Heike ist. ;)
Seitenanfang Seitenende
08.04.2010, 19:18
Moderator

Beiträge: 5694
#15 Puh, leider habe ich gerade auf den Logs bei Trojaner-Board etwas gefunden, was mich veranlasst, den Support an diesem Punkt einzustellen. Die Nutzung von Cracks, Keygens und Patchs, die das Ziel haben, Bezahlsoftware ohne Bezahlung nutzbar zu machen, ist illegal und wir haben uns unterdessen darauf geeinigt, dass wir uns nicht der Beihilfe schuldig machen. Dieses Forum unterliegt deutschen Gesetzen und die sind da ziemlich streng. Du hast Dir mit diesem Zeug Dein System infiziert, und dass Cracks und Keygens im Wesentlichen dazu dienen, um auf den Computern Malware unterzubringen, ist schließlich kein Geheimnis. Da bleibt mir nicht weiter, als Dir zu empfehlen, in Zukunft auf derlei Software zu verzichten. Mit solcher Software beschränkt sich der Support hier auf den Hinweis, das System neu zu installieren, um es von den diversen Schädlingen zu befreien.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »