xp geht in standby und firefox langsam

#1 Hallo,

ich habe ein paar Probleme mit dem Windows XP professional SP3: Es geht in den Standby Modus obwohl ich es unter Administartorrechten so eingestelkt habe dass es nie in den Standby Modus gehen soll. Sogar laufende Downloads werden einfach abgebrochen. Es passiert ungefähr nach einer halben Stunde, manchmal sogar schon eher.

Das Starten des Firefox dauert teilweise ewig. Außerdem ist der Firefox sehr langsam geworden, trotz dass ich mit CCleaner immer wieder aufräume und auch die Chroniik sehr oft komplett lösche. Auf Youtube lassen sich keine Filme mehr ohne Unterbrechung abspielen, nur wenn ich die vorher auf Festplatte herunterlade. Am Internet liegt es nicht, das ist schnell genug. Manchmal ist Firefox so sehr mit sich selbst beschäftigt dass Zeiten zum Beispiel beim Einloggen bei einer Bank oder beim herunterladen von Dateien abgebrochen werden.

Als Virenschutz habe ich Avira Antivir Personal, welches nichts verdächtiges findet. CCleaner entfernt immer relativ kleine Mengen, ca 50 MB. (Früher waren es manchmal auch mal 1 gb.) Das Starten des Windows ist zudem sehr langsam.

Ich habe Windows mit mehreren Konten installiert, damit ich als eingeschränkter Nutzer unter Firefox einigermaßen sicher surfen kann., Früher musste ich das Windows alle paar Monate neu machen, weil es versucht war. Lediglich bei installationen muss ich in den Admin Modus rein.

Als Monitor betreibe ich einen Full HD 32 Zöller über einen DVI-HDMI Adapter an einer ATI Karte unter Catalyst. Oft habe ich Probleme dass der Fernseher kein Bold liefert. Dann muss ich erst einen anderen HDMI Eingang anwählen und dann wieder zurück. Aber ich denke dass es ein Problem des Fernsehers ist.

Ich bin am Überlegen ob sich trotz Antivir irgendwas eingeschlichen hat was die Kiste so schwerfällig macht. Wie sollte ich vorgehen?

#2 Hi,

schauen wir mal.

1. Malwarebytes
http://www.malwarebytes.org/affiliates/g2g/mbam-setup.exe
Malwarebytes bitte installieren, aktualisieren, einen Quick Scan durchführen, evt. Funde entfernen lassen und das Log posten.

2. OTL
http://oldtimer.geekstogo.com/OTL.exe
Das Programm starten, bei Scan All Users, Loop Check und Purity Check Häckchen setzen und auf Run Scan klicken. Es werden zwei Logs erstellt, OTL.txt und Extras.txt, die beiden bitte posten.

#3 Hallo gangren,

danke für die schnelle Antwort.

Frage: Soll ich das alles unter dem eingeschränkten Konto machen, mit dem ich normalerweise arbeite und vorher dieses auf "administrator" umstellen, oder soll ich von dem Admin Konto aus machen? Oder ist das egal?

#4 Von dem Admin Konto bitte, sonst haben die Tools keine Rechte.

#5 Hallo,

hier zwei logs. Es hat etwas gedauert, da der erste
Scan recht lange dauerte und der Rechner ja - wie erwähnt - nach einiger Zeit in den Ruhemodus überwechselt und sogar laufende Prozeduren unterbricht. Heute musste ich etwas machen und konnte daher immer wieder die Maus berühren um das Pausieren zu vermeiden.

Zitat

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4490

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

27.08.2010 20:07:26
mbam-log-2010-08-27 (20-07-26).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 146483
Laufzeit: 24 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat

OTL logfile created on: 27.08.2010 20:39:51 - Run 1
OTL by OldTimer - Version 3.2.10.0 Folder = C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 84,00% Memory free
7,00 Gb Paging File | 7,00 Gb Available in Paging File | 93,00% Paging File free
Paging file location(s): C:\pagefile.sys 4096 4096 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 20,00 Gb Total Space | 3,03 Gb Free Space | 15,14% Space Free | Partition Type: NTFS
Drive D: | 17,27 Gb Total Space | 0,76 Gb Free Space | 4,38% Space Free | Partition Type: NTFS
Drive E: | 55,92 Gb Total Space | 2,43 Gb Free Space | 4,34% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
Drive G: | 465,76 Gb Total Space | 8,62 Gb Free Space | 1,85% Space Free | Partition Type: NTFS
Drive H: | 465,76 Gb Total Space | 12,80 Gb Free Space | 2,75% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded

Computer Name: KRUEMMEL
Current User Name: Besitzer
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - [2010.08.27 19:40:41 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads\OTL.exe
PRC - [2010.04.19 18:38:13 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.04.09 00:43:39 | 000,039,408 | ---- | M] (Google Inc.) -- C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
PRC - [2010.04.01 20:00:17 | 000,910,296 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2010.03.02 10:28:31 | 000,282,792 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.02.24 09:28:09 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.02.18 11:43:20 | 000,490,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
PRC - [2010.02.18 11:43:18 | 000,248,040 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2010.01.14 21:11:00 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2008.05.26 22:19:14 | 000,123,904 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Desktop Search\WindowsSearch.exe
PRC - [2008.04.21 23:27:06 | 000,498,952 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
PRC - [2008.04.21 23:00:36 | 000,911,168 | ---- | M] (Acronis) -- C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
PRC - [2008.04.21 22:54:38 | 002,622,296 | ---- | M] (Acronis) -- C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
PRC - [2008.04.21 00:07:26 | 000,136,472 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
PRC - [2008.04.21 00:07:18 | 000,431,384 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.11.16 12:20:26 | 000,091,432 | ---- | M] (cyberlink) -- C:\Programme\CyberLink\Shared Files\brs.exe
PRC - [2007.08.09 13:17:38 | 002,503,976 | ---- | M] (Cyberlink) -- C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - [2010.08.27 19:40:41 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads\OTL.exe
MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
SRV - [2010.04.19 18:38:13 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.02.24 09:28:09 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.04.21 23:27:06 | 000,498,952 | ---- | M] () [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe -- (TryAndDecideService)
SRV - [2008.04.21 00:07:18 | 000,431,384 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ivusb.sys -- (ivusb)
DRV - [2010.03.03 06:21:08 | 004,630,016 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2010.03.01 09:05:24 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.02.16 13:24:01 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 11:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.05.11 09:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.10.22 10:51:38 | 000,441,760 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\timntr.sys -- (timounter)
DRV - [2008.10.22 10:51:38 | 000,044,384 | ---- | M] (Acronis) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter)
DRV - [2008.10.22 10:51:29 | 000,132,224 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\snapman.sys -- (snapman)
DRV - [2008.10.22 10:51:17 | 000,368,480 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\tdrpman.sys -- (tdrpman)
DRV - [2008.05.21 01:53:36 | 000,093,696 | R--- | M] (ATI Research Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV - [2008.04.13 20:46:20 | 000,048,128 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\61883.sys -- (61883)
DRV - [2008.04.13 20:46:20 | 000,038,912 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avc.sys -- (Avc)
DRV - [2008.04.13 20:36:39 | 000,043,008 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\amdagp.sys -- (amdagp)
DRV - [2008.04.13 20:36:39 | 000,040,960 | ---- | M] (Silicon Integrated Systems Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\sisagp.sys -- (sisagp)
DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2007.11.30 19:45:43 | 000,014,208 | ---- | M] (Fujitsu Siemens Computers) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\SMBus_2k.sys -- (SMBus_2k)
DRV - [2007.11.05 20:57:46 | 000,041,456 | ---- | M] (Cyberlink Corp.) [Kernel | Auto | Running] -- C:\Programme\CyberLink\PowerDVD\000.fcl -- ({95808DC4-FA4A-4C74-92FE-5B863F82066B})
DRV - [2004.07.09 05:26:38 | 000,052,096 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\msdv.sys -- (MSDV)
DRV - [2004.02.17 16:38:30 | 000,132,608 | ---- | M] (Adaptec, Inc.) [Kernel | Boot | Stopped] -- C:\WINDOWS\system32\DRIVERS\adpu320.sys -- (adpu320)
DRV - [2003.10.23 07:28:00 | 000,174,336 | ---- | M] (Marvell Semiconductor Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\yukonwxp.sys -- (yukonwxp)
DRV - [2001.08.18 04:22:54 | 000,006,656 | ---- | M] (CMD Technology, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\cmdide.sys -- (CmdIde)
DRV - [2001.08.17 14:07:44 | 000,019,072 | ---- | M] (Adaptec, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\sparrow.sys -- (Sparrow)
DRV - [2001.08.17 14:07:42 | 000,030,688 | ---- | M] (LSI Logic) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys -- (sym_u3)
DRV - [2001.08.17 14:07:40 | 000,028,384 | ---- | M] (LSI Logic) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys -- (sym_hi)
DRV - [2001.08.17 14:07:36 | 000,032,640 | ---- | M] (LSI Logic) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys -- (symc8xx)
DRV - [2001.08.17 14:07:34 | 000,016,256 | ---- | M] (Symbios Logic Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\symc810.sys -- (symc810)
DRV - [2001.08.17 13:52:22 | 000,036,736 | ---- | M] (Promise Technology, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\ultra.sys -- (ultra)
DRV - [2001.08.17 13:52:20 | 000,045,312 | ---- | M] (QLogic Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\ql12160.sys -- (ql12160)
DRV - [2001.08.17 13:52:20 | 000,040,320 | ---- | M] (QLogic Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\ql1080.sys -- (ql1080)
DRV - [2001.08.17 13:52:18 | 000,049,024 | ---- | M] (QLogic Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\ql1280.sys -- (ql1280)
DRV - [2001.08.17 13:52:16 | 000,179,584 | ---- | M] (Mylex Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys -- (dac2w2k)
DRV - [2001.08.17 13:52:12 | 000,017,280 | ---- | M] (American Megatrends Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys -- (mraid35x)
DRV - [2001.08.17 13:52:00 | 000,026,496 | ---- | M] (Advanced System Products, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\asc.sys -- (asc)
DRV - [2001.08.17 13:51:58 | 000,014,848 | ---- | M] (Advanced System Products, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\asc3550.sys -- (asc3550)
DRV - [2001.08.17 13:51:56 | 000,005,248 | ---- | M] (Acer Laboratories Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\aliide.sys -- (AliIde)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fujitsu-siemens.de
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie


IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.fujitsu-siemens.de
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.fujitsu-siemens.de
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.fujitsu-siemens.de

IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.fujitsu-siemens.de

IE - HKU\S-1-5-21-2029276753-2998085240-1876167850-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKU\S-1-5-21-2029276753-2998085240-1876167850-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKU\S-1-5-21-2029276753-2998085240-1876167850-1005\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKU\S-1-5-21-2029276753-2998085240-1876167850-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.09 01:09:47 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.09 16:25:18 | 000,000,000 | ---D | M]

[2008.10.22 10:42:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Extensions
[2010.08.27 19:49:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4mdvg2kh.default\extensions
[2010.07.23 22:06:48 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4mdvg2kh.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.08.27 19:49:45 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.04.01 18:54:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.04.01 18:54:38 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.04.01 18:54:38 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.04.01 18:54:38 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.04.01 18:54:38 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll (Google Inc.)
O2 - BHO: (Google Dictionary Compression sdch) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKU\S-1-5-21-2029276753-2998085240-1876167850-1005\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe (Acronis)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BDRegion] C:\Programme\CyberLink\Shared Files\brs.exe (cyberlink)
O4 - HKLM..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
O4 - HKU\S-1-5-21-2029276753-2998085240-1876167850-1005..\Run: [Power2GoExpress] C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe (Cyberlink)
O4 - HKU\S-1-5-21-2029276753-2998085240-1876167850-1005..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2029276753-2998085240-1876167850-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1224660035359 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab (Java Plug-in 1.5.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O30 - LSA: Authentication Packages - (relog_ap) - C:\WINDOWS\System32\relog_ap.dll (Acronis)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.08.20 21:33:18 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.03.22 13:25:50 | 000,000,000 | ---D | M] - E:\autoreperatur -- [ NTFS ]
O33 - MountPoints2\{d8ed91cf-7249-11df-9d07-0011d89bb40b}\Shell - "" = AutoRun
O33 - MountPoints2\{d8ed91cf-7249-11df-9d07-0011d89bb40b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d8ed91cf-7249-11df-9d07-0011d89bb40b}\Shell\AutoRun\command - "" = F:\WD SmartWare.exe -- File not found
O33 - MountPoints2\{d8ed91d4-7249-11df-9d07-0011d89bb40b}\Shell - "" = AutoRun
O33 - MountPoints2\{d8ed91d4-7249-11df-9d07-0011d89bb40b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d8ed91d4-7249-11df-9d07-0011d89bb40b}\Shell\AutoRun\command - "" = F:\WD SmartWare.exe -- File not found
O33 - MountPoints2\I\Shell - "" = AutoRun
O33 - MountPoints2\I\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\I\Shell\AutoRun\command - "" = I:\Bin\Assetup.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.08.27 19:41:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
[2010.08.27 19:41:25 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.08.27 19:41:23 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.08.27 19:41:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.08.27 19:41:22 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.08.27 19:41:27 | 000,000,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.08.27 19:26:20 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.08.27 19:25:52 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.08.27 19:25:50 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.08.27 19:25:45 | 3622,096,896 | -HS- | M] () -- C:\hiberfil.sys
[2010.08.06 20:32:48 | 002,359,296 | -H-- | M] () -- C:\Dokumente und Einstellungen\Besitzer\ntuser.dat
[2010.08.06 20:32:48 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Besitzer\ntuser.ini
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.08.27 19:41:27 | 000,000,682 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2008.12.20 13:28:18 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.12.20 04:23:25 | 000,000,107 | ---- | C] () -- C:\WINDOWS\IfoEdit.INI
[2008.12.20 02:38:11 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2008.12.20 02:20:40 | 000,003,481 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2008.12.20 02:20:37 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2008.11.21 23:47:52 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008.11.21 23:45:16 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest
[2008.05.26 22:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008.05.26 22:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008.05.26 22:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2007.11.30 19:45:34 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005.10.26 11:11:19 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2005.04.28 14:32:29 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2004.08.20 21:44:06 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL

[color=#E56717]========== LOP Check ==========[/color]

[2000.01.19 05:51:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2008.12.20 13:35:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Canon
[2010.04.20 20:47:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\PeaZip
[2008.10.22 11:52:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Windows Desktop Search
[2010.04.21 21:18:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Windows Search
[2010.04.09 01:24:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Krümel\Anwendungsdaten\Canon
[2010.04.10 13:04:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Krümel\Anwendungsdaten\PeaZip
[2008.12.20 04:07:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Krümel\Anwendungsdaten\Windows Desktop Search
[2010.04.17 23:17:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Krümel\Anwendungsdaten\Windows Search
[2008.10.22 10:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Acronis

[color=#E56717]========== Purity Check ==========[/color]


< End of report >

Zitat

OTL Extras logfile created on: 27.08.2010 20:39:51 - Run 1
OTL by OldTimer - Version 3.2.10.0 Folder = C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 84,00% Memory free
7,00 Gb Paging File | 7,00 Gb Available in Paging File | 93,00% Paging File free
Paging file location(s): C:\pagefile.sys 4096 4096 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 20,00 Gb Total Space | 3,03 Gb Free Space | 15,14% Space Free | Partition Type: NTFS
Drive D: | 17,27 Gb Total Space | 0,76 Gb Free Space | 4,38% Space Free | Partition Type: NTFS
Drive E: | 55,92 Gb Total Space | 2,43 Gb Free Space | 4,34% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
Drive G: | 465,76 Gb Total Space | 8,62 Gb Free Space | 1,85% Space Free | Partition Type: NTFS
Drive H: | 465,76 Gb Total Space | 12,80 Gb Free Space | 2,75% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded

Computer Name: KRUEMMEL
Current User Name: Besitzer
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_USERS\S-1-5-21-2029276753-2998085240-1876167850-1005\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [- Browse path with PeaZip] -- "C:\Programme\PeaZip\PEAZIP.EXE" "-ext2browsepath" "%1" (Giorgio Tani)
Directory [+ Add to archive] -- "C:\Programme\PeaZip\PEAZIP.EXE" "-add2multi" "%1" (Giorgio Tani)
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Digital Photo Professional] -- C:\Programme\Canon\Digital Photo Professional\DPP\DPPViewer.exe /path "%1" (CANON INC.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNetisabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNetisabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNetisabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNetisabled:@xpsp2res.dll,-22002

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{083F79E4-6FE9-46FB-A6C6-4F8862742947}" = ATI HYDRAVISION
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{18F600C5-89DA-939F-C456-7EFF8545F7F2}" = ATI Catalyst Install Manager
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = Hi-Def Suite
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java(TM) 6 Update 19
"{2DD0BBBF-E4BB-9396-9A0F-8CA87CD5B7BF}" = Catalyst Control Center Graphics Full New
"{3248F0A8-6813-11D6-A77B-00B0D0150050}" = J2SE Runtime Environment 5.0 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = Power2Go 5.0
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5A2BC38A-406C-4A5B-BF45-6991F9A05325}_is1" = PeaZip 3.0
"{633A06C3-B709-479A-AAB3-5EE94AD9EE4B}" = AcronisTrueImageHome
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6D72B6BC-6F12-ED07-E763-B4B92D2B0214}" = Catalyst Control Center Graphics Previews Common
"{79DA9485-3F71-6E1E-DB22-AC859FC9C3ED}" = CCC Help English
"{82231D5B-EE8C-815D-DD04-BC42521A77DB}" = Catalyst Control Center Graphics Full Existing
"{874E44F3-B9A7-4AA1-B4BA-83E5684ED9C6}" = PhotoStitch
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics 2 Driver
"{8D7133DE-27D2-47E5-B248-4180278D32AA}" = Catalyst Control Center - Branding
"{8EA485CA-2FC5-EEBD-D7FF-4EAD46AA099B}" = ccc-core-preinstall
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A90000000001}" = Adobe Reader 9 - Deutsch
"{ADD5DB49-72CF-11D8-9D75-000129760D75}" = PowerBackup
"{B63B5FC6-B005-5B6D-7F04-3950656634B9}" = Catalyst Control Center InstallProxy
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C950420B-4182-49EA-850A-A6A2ABF06C6B}" = Marvell Miniport Driver
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D071EFC1-A719-8FA1-6F20-CDD046AF8F66}" = ccc-utility
"{D5FD95DA-0B0F-9278-5102-056262A3E889}" = Catalyst Control Center Core Implementation
"{DB80C34B-EA40-6084-5BED-B5E36A2F94CC}" = Catalyst Control Center Localization All
"{DFB4665A-6CC3-EE16-9FF5-92655EDD9296}" = Catalyst Control Center Graphics Light
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F4D76FAE-89E8-8109-9AF0-3B16AF6DDAAC}" = Catalyst Control Center HydraVision Full
"{FACB8BA0-8D6A-1461-3C9D-1DFAFDDBACBB}" = ccc-core-static
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"DPP" = Canon Utilities Digital Photo Professional 3.4
"DScaler 5 Mpeg Decoders_is1" = DScaler 5 Mpeg Decoders
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"InstallShield_{874E44F3-B9A7-4AA1-B4BA-83E5684ED9C6}" = Canon Utilities PhotoStitch 3.1
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MaxIm DL" = MaxIm DL
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6
"NeroVision!UninstallKey" = NeroVision Express
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NMPUninstallKey" = NeroMediaPlayer
"ProjectX_0" = ProjectX 0.90.4.00
"PROSet" = Intel(R) PRO Network Connections Drivers
"VLC media player" = VLC media player 1.0.5
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 16.04.2010 16:42:58 | Computer Name = KRUEMMEL | Source = Windows Search Service | ID = 3028
Description = Das Gatherer-Objekt kann nicht initialisiert werden. Kontext: Windows
Anwendung, SystemIndex Katalog Details: Der Inhaltsindex kann nicht gelesen werden.
(0xc0041800)

Error - 16.04.2010 16:42:58 | Computer Name = KRUEMMEL | Source = Windows Search Service | ID = 3058
Description = Die Anwendung kann nicht initialisiert werden. Kontext: Windows Anwendung

Details:
Der
Inhaltsindex kann nicht gelesen werden. (0xc0041800)

Error - 16.04.2010 16:48:54 | Computer Name = KRUEMMEL | Source = Windows Search Service | ID = 3024
Description = Die Aktualisierung kann nicht gestartet werden, da kein Zugriff auf
die Inhaltsquellen bestand. Beheben Sie die Fehler, und starten Sie die Aktualisierung
erneut. Kontext: Windows Anwendung, SystemIndex Katalog

Error - 21.04.2010 15:40:25 | Computer Name = KRUEMMEL | Source = Windows Search Service | ID = 3024
Description = Die Aktualisierung kann nicht gestartet werden, da kein Zugriff auf
die Inhaltsquellen bestand. Beheben Sie die Fehler, und starten Sie die Aktualisierung
erneut. Kontext: Anwendung, SystemIndex Katalog

Error - 12.05.2010 18:05:50 | Computer Name = KRUEMMEL | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung producer.exe, Version 4.0.0.1920, fehlgeschlagenes
Modul mfc71u.dll, Version 7.10.3077.0, Fehleradresse 0x0005c598.

Error - 14.05.2010 14:46:13 | Computer Name = KRUEMMEL | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung giotto.exe, Version 0.0.0.0, fehlgeschlagenes
Modul giotto.exe, Version 0.0.0.0, Fehleradresse 0x00080edd.

Error - 14.05.2010 14:54:19 | Computer Name = KRUEMMEL | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung giotto.exe, Version 0.0.0.0, fehlgeschlagenes
Modul giotto.exe, Version 0.0.0.0, Fehleradresse 0x000825ac.

Error - 22.05.2010 13:22:22 | Computer Name = KRUEMMEL | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung moviemk.exe, Version 2.1.4027.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 22.05.2010 13:22:58 | Computer Name = KRUEMMEL | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung moviemk.exe, Version 2.1.4027.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 22.05.2010 13:29:45 | Computer Name = KRUEMMEL | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung moviemk.exe, Version 2.1.4027.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

[ System Events ]
Error - 21.08.2010 22:36:49 | Computer Name = KRUEMMEL | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.2 für die Netzwerkkarte mit der Netzwerkadresse
0011D89BB40B wurde durch den DHCP-Server 192.168.2.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).

Error - 21.08.2010 22:36:50 | Computer Name = KRUEMMEL | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 21.08.2010 22:36:50 | Computer Name = KRUEMMEL | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 22.08.2010 14:34:56 | Computer Name = KRUEMMEL | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 22.08.2010 14:34:56 | Computer Name = KRUEMMEL | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 22.08.2010 14:35:06 | Computer Name = KRUEMMEL | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.2 für die Netzwerkkarte mit der Netzwerkadresse
0011D89BB40B wurde durch den DHCP-Server 192.168.2.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).

Error - 23.08.2010 13:09:21 | Computer Name = KRUEMMEL | Source = DCOM | ID = 10010
Description = Der Server "{7D096C5F-AC08-4F1F-BEB7-5C22C517CE39}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error - 23.08.2010 15:27:32 | Computer Name = KRUEMMEL | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.2 für die Netzwerkkarte mit der Netzwerkadresse
0011D89BB40B wurde durch den DHCP-Server 192.168.2.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).

Error - 25.08.2010 13:42:31 | Computer Name = KRUEMMEL | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.2 für die Netzwerkkarte mit der Netzwerkadresse
0011D89BB40B wurde durch den DHCP-Server 192.168.2.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).

Error - 26.08.2010 11:25:07 | Computer Name = KRUEMMEL | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.2 für die Netzwerkkarte mit der Netzwerkadresse
0011D89BB40B wurde durch den DHCP-Server 192.168.2.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).


< End of report >

#6 Mhm,

soweit alles sauber. Bei dieser Stand-by Geschichte würde ich gerne zunächst die einfachste Möglichkeit ausschließen. Wenn Du einen Rechtsklick aufs Desktop machst -> Eigenschaften -> Bildschirmschoner, ist der Bildschirmschoner aktiviert? Ist bei "Kennworteingabe bei Reaktivierung" ein Häckchen gesetzt?

1. Starte bitte OTL, kopiere unten in das Script-Feld rein:

Zitat

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ivusb.sys -- (ivusb)
O32 - AutoRun File - [2009.03.22 13:25:50 | 000,000,000 | ---D | M] - E:\autoreperatur -- [ NTFS ]
O33 - MountPoints2\{d8ed91cf-7249-11df-9d07-0011d89bb40b}\Shell - "" = AutoRun
O33 - MountPoints2\{d8ed91cf-7249-11df-9d07-0011d89bb40b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d8ed91cf-7249-11df-9d07-0011d89bb40b}\Shell\AutoRun\command - "" = F:\WD SmartWare.exe -- File not found
O33 - MountPoints2\{d8ed91d4-7249-11df-9d07-0011d89bb40b}\Shell - "" = AutoRun
O33 - MountPoints2\{d8ed91d4-7249-11df-9d07-0011d89bb40b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d8ed91d4-7249-11df-9d07-0011d89bb40b}\Shell\AutoRun\command - "" = F:\WD SmartWare.exe -- File not found
O33 - MountPoints2\I\Shell - "" = AutoRun
O33 - MountPoints2\I\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\I\Shell\AutoRun\command - "" = I:\Bin\Assetup.exe -- File not found

:Commands
[purity]
[emptytemp]
[emptyflash]

und klicke auf Run Fix. Unter Umständen ist ein Neustart notwendig. Poste bitte das Fix Log.

2. RootRepeal
http://sites.google.com/site/rootrepeal/
Starte RootRepeal.
Beende alle anderen Programme.
Gehe unten auf den Reiter Report.
Klicke auf Scan.
Setze alle Häkchen.
Bestätige mit OK.
Falls gefragt, wähle Laufwerk C:
Bestätige mit OK.
Am Ende des Scans wird ein Log eingeblendet, poste es bitte.

#7 Hallo,

der Bildschirmschoner ist nicht aktiviert. Bei den Energieoptionen sind nur die Festplatten auf eine Stunde eingestellt, alles andere auf "nie" bzw "niemals". Der Haken bei "Kennworteingabe bei Reaktivierung" ist gesetzt. Mir fällt übrigens auf, dass das Bild einige Minuten vor dem Abschalten ( in den Stand by) schwarz wird. Der Fernseher (Monitor) bleibt aber an,. selbst nachdem der Computer schon schläft.

Hier die logs:

Zitat

All processes killed
========== OTL ==========
Service ivusb stopped successfully!
Service ivusb deleted successfully!
File C:\WINDOWS\System32\DRIVERS\ivusb.sys not found.
File not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d8ed91cf-7249-11df-9d07-0011d89bb40b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d8ed91cf-7249-11df-9d07-0011d89bb40b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d8ed91cf-7249-11df-9d07-0011d89bb40b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d8ed91cf-7249-11df-9d07-0011d89bb40b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d8ed91cf-7249-11df-9d07-0011d89bb40b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d8ed91cf-7249-11df-9d07-0011d89bb40b}\ not found.
File F:\WD SmartWare.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d8ed91d4-7249-11df-9d07-0011d89bb40b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d8ed91d4-7249-11df-9d07-0011d89bb40b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d8ed91d4-7249-11df-9d07-0011d89bb40b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d8ed91d4-7249-11df-9d07-0011d89bb40b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d8ed91d4-7249-11df-9d07-0011d89bb40b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d8ed91d4-7249-11df-9d07-0011d89bb40b}\ not found.
File F:\WD SmartWare.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I\ not found.
File I:\Bin\Assetup.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: All Users

User: Besitzer
->Temp folder emptied: 11719074 bytes
->Temporary Internet Files folder emptied: 2575765 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 53399230 bytes
->Flash cache emptied: 604 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Krümel
->Temp folder emptied: 25712 bytes
->Temporary Internet Files folder emptied: 257870 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 63095389 bytes
->Flash cache emptied: 8405 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 3024003 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 49635 bytes
RecycleBin emptied: 3340530 bytes

Total Files Cleaned = 131,00 mb


[EMPTYFLASH]

User: Administrator

User: All Users

User: Besitzer
->Flash cache emptied: 0 bytes

User: Default User

User: Krümel
->Flash cache emptied: 0 bytes

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb

Error: Unable to interpret <Quelle: http://board.protecus.de/t40227.htm#ixzz0xwZOp2cy> in the current context!

OTL by OldTimer - Version 3.2.10.0 log created on 08292010_005148

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Zitat

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/08/29 00:58
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xAC6C5000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF79EF000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xA94F3000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

SSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xaca09b56

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xaca09b4c

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xaca09b5b

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xaca09b65

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xaca09b6a

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xaca09b38

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xaca09b3d

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xaca09b74

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xaca09b6f

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xaca09b60

==EOF==

#8 Hm,

keine Malware zu entdecken. Arbeite bitte diese Anleitung ab und poste das Log
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

während ich darüber nachdenke, wie wir dem problem auf die Spur kommen können.

#9 Hier der Bericht. Es hat etwas gedauert, da der Firefox nach Combofix nicht mehr ging. Aber jetzt habe ich den wieder zum Laufen bekommen nachdem ich den als "Standard" deklariert habe.

Kann das Herunterfahren in den Standbymodus auch hardwaremässig ausgeführt werden? Ich hatte schon einmal das mainboard wechseln müssen weil das alte einfach stehen blieb. Vielleicht ist das ja eine Macke aller ASUS P4P800se Boards, dass die nach einiger Laufzeit den Geist aufgeben, zum Beispiel wegen Wärme. Es sind zwar einige Zusatzlüfter am Laufen aber warm wird es schon.

Ein andere Sache ist das externe BlueRay Laufwerk: Wenn ich es betreiben möchte brauche ich PowerDVD. Dieses Programm macht aber immer wieder Stress weil es irgendwelche Updates durchführen will oder muss (irgendwas mir der Laufwerksaktualisierung oder so). Leider bin ich drauf angeweiesen da das BlueRay sonst keine Filme abspielt.

Ein weiterer Punkt ist USB: Wenn ich beim wiederstarten oder beim Neustarten irgendwas am USB dran habe, bleibt der Rechner beim Booten stehen. Ich muss es also rausziehen, den Rechner hochfahren und hoffen,. dass Windows alles hinterher wieder erkennt. Gerade bei fehlgeschlagenen Downloads in Verbindung mit dem Runterfahren in den Standby Modus geht da schon mal was schief. Ich achte meist darauf, dass nur auf die internenn Platten download betrieben wird. Diese USB Macke hatte ich aber schon von Anfang an, auch mit dem früheren (baugleichen) mainboard.

Dann erinnere ich mach, dass ich beim Wechsel der Grafikkarte (wegen HDMI und Full HD bei BlueRay bzw all den Kopierschutzmaßnahmen des BlueRay) unheimlich Stress mit dem ATI Catalyst hatte. Es leiß sich nicht drauf ein, dass eine neue Grafikkarte drin war trotz dass ich es deinstalliert hatte und die aktuelle neue Version draufspielte. Darauf hin hatte ich mit Acronis True Image eine Sicherheitskopie des Betriebssystems draufgespielt und konnte endlich nach viel Gefummel den Catalyst zum Laufen bekommen, welcher bis heute klaglos läuft. Aber man weiß ja nie ob das irgendwie in Zusammenhang mit dem Runterfahr-Problem steht. Nur sehr ungern würde ich alles noch einmal von vorn machen. Acronis hin oder her, aber so hundertprozentig ist das (für mich!) nicht, weil irgendwelche Einstellungen, die man inzwischen durchgeführt hat in Vergessenheit geraten sind. Außerdem habe ich Angest wegen des Catalyst.

Zitat

ComboFix 10-08-29.04 - Besitzer 30.08.2010 17:59:52.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3454.2962 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((( Dateien erstellt von 2010-07-28 bis 2010-08-30 ))))))))))))))))))))))))))))))
.

2010-08-28 22:51 . 2010-08-28 22:51 -------- d-----w- C:\_OTL
2010-08-27 18:16 . 2010-08-27 18:16 503808 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-6cd0eb5e-n\msvcp71.dll
2010-08-27 18:16 . 2010-08-27 18:16 499712 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-6cd0eb5e-n\jmc.dll
2010-08-27 18:16 . 2010-08-27 18:16 348160 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-6cd0eb5e-n\msvcr71.dll
2010-08-27 18:16 . 2010-08-27 18:16 61440 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2008cc91-n\decora-sse.dll
2010-08-27 18:16 . 2010-08-27 18:16 12800 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2008cc91-n\decora-d3d.dll
2010-08-27 17:41 . 2010-08-27 17:41 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2010-08-27 17:41 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-27 17:41 . 2010-08-27 17:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-27 17:41 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-27 17:41 . 2010-08-27 17:41 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-28 22:57 . 2010-04-10 10:25 -------- d-----w- c:\programme\PeaZip
2010-07-24 07:40 . 2010-04-08 22:37 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\vlc
2010-07-17 01:16 . 2010-07-17 01:16 503808 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-29419360-n\msvcp71.dll
2010-07-17 01:16 . 2010-07-17 01:16 499712 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-29419360-n\jmc.dll
2010-07-17 01:16 . 2010-07-17 01:16 348160 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-29419360-n\msvcr71.dll
2010-07-17 01:16 . 2010-07-17 01:16 61440 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-792e31d1-n\decora-sse.dll
2010-07-17 01:16 . 2010-07-17 01:16 12800 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-792e31d1-n\decora-d3d.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-04-08 39408]
"Power2GoExpress"="c:\programme\CyberLink\Power2Go\Power2GoExpress.exe" [2007-08-09 2503976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-04-21 2622296]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-04-21 911168]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2008-04-20 136472]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-02 98304]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"BDRegion"="c:\programme\Cyberlink\Shared Files\brs.exe" [2007-11-16 91432]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-10-28 72736]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 62760]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [09.04.2010 01:02 135336]
S3 SMBus_2k;SMBus_2k;c:\windows\system32\drivers\SMBus_2k.sys [30.11.2007 19:45 14208]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\4mdvg2kh.default\
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-30 18:03
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD\000.fcl"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(956)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
c:\windows\system32\igfxdev.dll

- - - - - - - > 'lsass.exe'(1012)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(3180)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-08-30 18:04:45
ComboFix-quarantined-files.txt 2010-08-30 16:04

Vor Suchlauf: 3.169.521.664 Bytes frei
Nach Suchlauf: 3.138.125.824 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 578EFE126829DF773B355E670D5EAE32

#10 Mhm,

1. Starte bitte OTL, kopiere unten in das Script-Feld rein:

Zitat

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = 0

und klicke auf Run Fix.

2. JavaRa
http://www.heise.de/software/download/javara/56676
Starte es bitte und klicke auf Remove Older Versions.
Danach hol Dir bitte aktuelles Java
http://www.java.com/de/download/manual.jsp
und installiere es.

Wie sieht's da im BIOS aus? Irgendwelche Einstellungen zum Power Management vorhanden?
Wie geht's dem Firefox, irgendwelche Änderungen?

#11 Hallo,

nein, im Bios ist nichts zu finden. Firefox fragt jetzt ob die Java Version 19 deinstalliert werden soll. Bei der Ausführung von Java Ra ist irgendwas nicht gefunden worden, aber ich schicke mal die log-Dateien.

**geändert: Was ich noch fragen wollte: Wozu ist Java eigentlich?

Zitat

========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"AntiVirusOverride" | 0 /E : value set successfully!

OTL by OldTimer - Version 3.2.10.0 log created on 08302010_205015

Zitat

JavaRa 1.16 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Mon Aug 30 20:52:17 2010

Found and removed: C:\Programme\Java\jre1.5.0_05

Found and removed: C:\Programme\Java\jre1.6.0_07

------------------------------------

Finished reporting.

#12 Version 19 kann deinstalliert werden, zur Not auch über Systemsteuerung -> Software. Wir sind mittlerweile bei Version 21.
Java ist gewissermassen eine systemübergreifende Plattform, auf der Programme ausgeführt werden können. Ist ein Programm in Java programmiert, so kann es z.B auf einem Windows-Rechner genauso wie auf einem Linux ausgeführt werden, ohne angepasst werden zu müssen. Vorausgesetzt auf den Rechnern ist Java installiert.

So, ich fürchte, ich muss Dich an die Technik-Abteilung hier verweisen, denn ein Malware-Problem ist es meiner Meinung nach nicht. Und von allem anderen habe ich leider wenig Ahnung.
Ich werde einen Modereator anschreiben, er möge Deinen Thread ins Technik-Forum verschieben, dann musst Du nicht alles zwei mal erklären.

Gruß,
gangren

#13 Hallo,

ja vielen Dank. Das wäre nett wenn jemand das in die Technik verschiebt und mir dort weiterhilft.

Ich habe eben entsetzt gesehen, dass ein gelbes Ausführungszeichen vor dem "Netzwerkcontroller" (im Gerätemanager) zu sehen ist. Ich weiß aber nicht wie ich das wegbekomme, denn ich habe die ASUS CD installations CD ohne Erfolg laufen lassen. Vielleicht ist da der Übeltäter für das komische Benehmen zu finden?

Na das können die Kollegen der Technk mir vielleicht erklären. Vielen Dank noch einmal!

#14 Hallo,

ich weiß nicht ob ich es missverstanden habe: Soll ich selbst das Thema in einer anderen Abteilung neu starten? Wenn ja, wo und wie? Kann man den ganzen Pfad mitnehmen oder einen Querverweis drauf machen? Wenn ja, wie?

danke im Vorraus für eine Antwort.