Internetverbindung und Firewall defekt nach Virenbefall

#0
24.09.2010, 18:26
Member

Beiträge: 12
#1 Hallo,
nach einem Virenbefall funktioniert meine Firewall nicht mehr und auf das Internet kann ich auch nicht zugreifen (schreibe von einem anderen Rechner). Ich schildere kurz den Ablauf wie es dazu kam und füge dann die geforderten Logfiles an:

Am Samstag war ich im Internet unterwegs und auf einmal kam ein kurzer Bluescreen und der Rechner war aus. Beim erneuten hochfahren meldete sich Antivir. Er fand in der Datei tcpip.sys den "Virus" Win32/PatchedXD (oder so ähnlich, kann es leider nicht mehr nachvollziehen). Habe dann auch noch Antivir drüber laufen lassen. Der fand in derselben Datei den Virus TR/Rootkit.Gen3. Verschiedenen Anleitungen folgend, habe ich dann noch verschiedene Programme drüber laufen lassen. Im abgesicherten Modus wurde noch der Virus TR/Crypt.ZPACK.Gen3 gefunden (unter C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temp\1A4.tmp). Diese gennanten Funde konnten auch beseitigt werden. Zumindest wurde in neueren Suchläufen nichts mehr gefunden.

Das System läuft seitdem auch stabil nur die Internetverbindung funktioniert nicht mehr und die Firewall kann nicht gestartet werden (Fehlermeldung: Der Dienst "Windows Firewall/Internet Connection Sharing (ICS)" konnte nicht gestartet werden.)

Ich habe dann auch schonmal GMER drüber laufen lassen und der hat immer was in der sptd.sys angezeigt, die ich daraufhin irgendwann gelöscht habe. Danach hat sich aber nichts verändert.

Mit Sicherheit wäre es das Beste einfach den Rechner neu aufzusetzen. Aus Zeitgründen würde ich das aber gerne vermeiden. Deswegen wäre ich sehr dankbar, wenn ihr mir helfen könntet und ich das Ganze vielleicht umgehen könnte ;)

Hier die Logs:

1.OTL

Code


OTL logfile created on: 24.09.2010 17:19:05 - Run 1
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Dokumente und Einstellungen\Ich\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.023,00 Mb Total Physical Memory | 616,00 Mb Available Physical Memory | 60,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19,51 Gb Total Space | 1,77 Gb Free Space | 9,08% Space Free | Partition Type: FAT32
Drive D: | 133,85 Gb Total Space | 26,28 Gb Free Space | 19,63% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 3,80 Gb Total Space | 3,04 Gb Free Space | 80,02% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: BASTIAN
Current User Name: Ich
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Dokumente und Einstellungen\Ich\Desktop\OTL.exe (OldTimer Tools)
PRC - D:\Programme\Java\bin\jqs.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
PRC - D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - D:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\WINDOWS\system32\CtHelper.exe (Creative Technology Ltd)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - D:\Programme\NVIDIA Corporation\nTune\nTuneService.exe (NVIDIA)
PRC - C:\Programme\Microsoft IntelliType Pro\itype.exe (Microsoft Corporation)
PRC - C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe (Creative Technology Ltd)
PRC - C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.exe (Creative Technology Ltd)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Dokumente und Einstellungen\Ich\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\ctagent.dll (Creative Technology Ltd)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (JavaQuickStarterService) -- D:\Programme\Java\bin\jqs.exe (Sun Microsystems, Inc.)
SRV - (AntiVirService) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple, Inc.)
SRV - (nTuneService) -- D:\Programme\NVIDIA Corporation\nTune\nTuneService.exe (NVIDIA)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (vcaoiqg) -- C:\WINDOWS\System32\drivers\rgwaosj.sys File not found
DRV - (PfDetNT) -- C:\WINDOWS\System32\drivers\PfModNT.sys File not found
DRV - (Lbd) -- C:\WINDOWS\System32\DRIVERS\Lbd.sys File not found
DRV - (CTSBLFX.DLL) -- C:\WINDOWS\System32\CTSBLFX.DLL File not found
DRV - (CTERFXFX.DLL) -- C:\WINDOWS\System32\CTERFXFX.DLL File not found
DRV - (CTAUDFX.DLL) -- C:\WINDOWS\System32\CTAUDFX.DLL File not found
DRV - (COMMONFX.DLL) -- C:\WINDOWS\System32\COMMONFX.DLL File not found
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (hap17v2k) -- C:\WINDOWS\system32\drivers\haP17v2k.sys (Creative Technology Ltd)
DRV - (hap16v2k) -- C:\WINDOWS\system32\drivers\haP16v2k.sys (Creative Technology Ltd)
DRV - (ha10kx2k) -- C:\WINDOWS\system32\drivers\ha10kx2k.sys (Creative Technology Ltd)
DRV - (emupia) -- C:\WINDOWS\system32\drivers\emupia2k.sys (Creative Technology Ltd)
DRV - (ctsfm2k) -- C:\WINDOWS\system32\drivers\ctsfm2k.sys (Creative Technology Ltd)
DRV - (ctprxy2k) -- C:\WINDOWS\system32\drivers\ctprxy2k.sys (Creative Technology Ltd)
DRV - (ossrv) -- C:\WINDOWS\system32\drivers\ctoss2k.sys (Creative Technology Ltd.)
DRV - (ctdvda2k) -- C:\WINDOWS\system32\drivers\ctdvda2k.sys (Creative Technology Ltd)
DRV - (ctaud2k) Creative Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\ctaud2k.sys (Creative Technology Ltd)
DRV - (ctac32k) -- C:\WINDOWS\system32\drivers\ctac32k.sys (Creative Technology Ltd)
DRV - (CTERFXFX.SYS) -- C:\WINDOWS\System32\drivers\CTERFXFX.SYS (Creative Technology Ltd)
DRV - (CTERFXFX) -- C:\WINDOWS\system32\drivers\CTERFXFX.sys (Creative Technology Ltd)
DRV - (CTSBLFX.SYS) -- C:\WINDOWS\System32\drivers\CTSBLFX.SYS (Creative Technology Ltd)
DRV - (CTSBLFX) -- C:\WINDOWS\system32\drivers\CTSBLFX.sys (Creative Technology Ltd)
DRV - (CTAUDFX.SYS) -- C:\WINDOWS\System32\drivers\CTAUDFX.SYS (Creative Technology Ltd)
DRV - (CTAUDFX) -- C:\WINDOWS\system32\drivers\CTAUDFX.sys (Creative Technology Ltd)
DRV - (COMMONFX.SYS) -- C:\WINDOWS\System32\drivers\COMMONFX.SYS (Creative Technology Ltd)
DRV - (COMMONFX) -- C:\WINDOWS\system32\drivers\COMMONFX.sys (Creative Technology Ltd)
DRV - (avgio) -- D:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (Maplom) -- C:\WINDOWS\System32\drivers\maplom.sys (SlySoft Inc.)
DRV - (MaplomL) -- C:\WINDOWS\System32\drivers\maploml.sys (SlySoft Inc.)
DRV - (VClone) -- C:\WINDOWS\system32\drivers\VClone.sys (Elaborate Bytes AG)
DRV - (nvgts) -- C:\WINDOWS\system32\DRIVERS\nvgts.sys (NVIDIA Corporation)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (USBModem) -- C:\WINDOWS\system32\drivers\lgusbmodem.sys (LG Electronics Inc.)
DRV - (UsbDiag) -- C:\WINDOWS\system32\drivers\lgusbdiag.sys (LG Electronics Inc.)
DRV - (usbbus) -- C:\WINDOWS\system32\drivers\lgusbbus.sys (LG Electronics Inc.)
DRV - (NVR0Dev) -- C:\WINDOWS\nvoclock.sys (NVidia Corp.)
DRV - (CT20XUT.DLL) -- C:\WINDOWS\system32\CT20XUT.DLL (Creative Technology Ltd.)
DRV - (CTHWIUT.DLL) -- C:\WINDOWS\system32\CTHWIUT.DLL (Creative Technology Ltd.)
DRV - (CTEXFIFX.DLL) -- C:\WINDOWS\system32\CTEXFIFX.DLL (Creative Technology Ltd.)
DRV - (CTEDSPSY.DLL) -- C:\WINDOWS\system32\CTEDSPSY.DLL (Creative Technology Ltd)
DRV - (CTEDSPIO.DLL) -- C:\WINDOWS\system32\CTEDSPIO.DLL (Creative Technology Ltd)
DRV - (CTEDSPFX.DLL) -- C:\WINDOWS\system32\CTEDSPFX.DLL (Creative Technology Ltd)
DRV - (CTEAPSFX.DLL) -- C:\WINDOWS\system32\CTEAPSFX.DLL (Creative Technology Ltd)
DRV - (nvnforce) Service for NVIDIA(R) nForce(TM) -- C:\WINDOWS\system32\drivers\nvapu.sys (NVIDIA Corporation)
DRV - (nvax) Service for NVIDIA(R) nForce(TM) -- C:\WINDOWS\system32\drivers\nvax.sys (NVIDIA Corporation)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (nvatabus) -- C:\WINDOWS\system32\DRIVERS\nvatabus.sys (NVIDIA Corporation)
DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys ()
DRV - (prohlp02) -- C:\WINDOWS\System32\drivers\prohlp02.sys (Protection Technology)
DRV - (prodrv06) -- C:\WINDOWS\System32\drivers\prodrv06.sys (Protection Technology)
DRV - (prosync1) -- C:\WINDOWS\System32\drivers\prosync1.sys (Protection Technology)
DRV - (PQNTDrv) -- C:\WINDOWS\System32\drivers\PQNTDRV.sys (PowerQuest Corporation)
DRV - (sfhlp01) -- C:\WINDOWS\System32\drivers\sfhlp01.sys (Protection Technology)
DRV - (ms_mpu401) -- C:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.zdv.uni-mainz.de/633.php
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.spiegel.de"
FF - prefs.js..extensions.enabledItems: piclens@cooliris.com:1.11.7
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: eafo3fflauncher@ea.com:1.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21

FF - HKLM\software\mozilla\Firefox\Extensions\\jqs@sun.com: D:\Programme\Java\lib\deploy\jqs\ff [2010.06.08 09:47:29 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: D:\Programme\Mozilla Firefox\components [2010.07.26 17:03:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2010.07.26 17:03:54 | 000,000,000 | ---D | M]

[2008.08.31 15:11:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Mozilla\Extensions
[2007.04.22 15:07:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\ch00qiw7.default\extensions
[2010.01.02 16:39:58 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\ch00qiw7.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2008.03.27 15:12:30 | 000,000,000 | ---D | M] (Blue Ice) -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\ch00qiw7.default\extensions\{a8dd47cf-239f-48c4-8379-e6b4cbafdcfa}
[2010.06.28 14:00:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\ch00qiw7.default\extensions\eafo3fflauncher@ea.com
[2010.03.07 11:56:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\ch00qiw7.default\extensions\piclens@cooliris.com
[2009.01.23 17:33:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Mozilla\Sunbird\Profiles\epswti9s.default\extensions
[2009.08.06 10:04:58 | 000,004,153 | ---- | M] () -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\ch00qiw7.default\searchplugins\youtube.xml

O1 HOSTS File: ([2008.03.28 18:37:42 | 000,229,900 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1    www.007guard.com
O1 - Hosts: 127.0.0.1    007guard.com
O1 - Hosts: 127.0.0.1    008i.com
O1 - Hosts: 127.0.0.1    www.008k.com
O1 - Hosts: 127.0.0.1    008k.com
O1 - Hosts: 127.0.0.1    www.00hq.com
O1 - Hosts: 127.0.0.1    00hq.com
O1 - Hosts: 127.0.0.1    010402.com
O1 - Hosts: 127.0.0.1    www.032439.com
O1 - Hosts: 127.0.0.1    032439.com
O1 - Hosts: 127.0.0.1    www.1001-search.info
O1 - Hosts: 127.0.0.1    1001-search.info
O1 - Hosts: 127.0.0.1    www.100888290cs.com
O1 - Hosts: 127.0.0.1    100888290cs.com
O1 - Hosts: 127.0.0.1    www.100sexlinks.com
O1 - Hosts: 127.0.0.1    100sexlinks.com
O1 - Hosts: 127.0.0.1    www.10sek.com
O1 - Hosts: 127.0.0.1    10sek.com
O1 - Hosts: 127.0.0.1    www.123topsearch.com
O1 - Hosts: 127.0.0.1    123topsearch.com
O1 - Hosts: 127.0.0.1    www.132.com
O1 - Hosts: 127.0.0.1    132.com
O1 - Hosts: 127.0.0.1    www.136136.net
O1 - Hosts: 127.0.0.1    136136.net
O1 - Hosts: 8059 more lines...
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.exe (Creative Technology Ltd)
O4 - HKLM..\Run: [CTHelper] C:\WINDOWS\System32\CtHelper.exe (Creative Technology Ltd)
O4 - HKLM..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe (Creative Technology Ltd)
O4 - HKLM..\Run: [itype] C:\Programme\Microsoft IntelliType Pro\itype.exe (Microsoft Corporation)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe (Creative Technology Ltd)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [UpdReg] C:\WINDOWS\Updreg.EXE (Creative Technology Ltd.)
O4 - HKCU..\Run: [NBJ] D:\Programme\Ahead\Nero BackItUp\NBJ.exe (Ahead Software AG)
O4 - HKCU..\Run: [NVIDIA nTune] D:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe (NVIDIA)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - D:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - Reg Error: Value error. File not found
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - Reg Error: Value error. File not found
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177243583265 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1177243572968 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15111/CTPID.cab (Creative Software AutoUpdate Support Package)
O18 - Protocol\Handler\cetihpz {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll (Hewlett-Packard Company)
O18 - Protocol\Handler\fluxhttp {8E2D00A0-82C6-4821-90BC-07F290841BB6} - C:\Programme\Gemeinsame Dateien\fluxDVD\Lib\XEB\xebnavigation.ax ()
O18 - Protocol\Handler\fluxhttp\0x00000007 {8E2D00A0-82C6-4821-90BC-07F290841BB6} - C:\Programme\Gemeinsame Dateien\fluxDVD\Lib\XEB\xebnavigation.ax ()
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.04.22 12:53:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\Launch.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.09.24 17:18:13 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Ich\Desktop\OTL.exe
[2010.09.24 17:02:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ich\Desktop\E-Mails
[2010.09.24 16:57:28 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Ich\Desktop\HiJackThis204.exe
[2010.09.21 13:29:42 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.09.21 13:04:34 | 000,019,248 | ---- | C] (Resplendence Software Projects Sp.) -- C:\WINDOWS\System32\drivers\rspsc32.sys
[2010.09.21 13:04:34 | 000,000,000 | ---D | C] -- C:\Programme\RootKit Hook Analyzer
[2010.09.21 10:55:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2010.09.21 10:54:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ich\Desktop\Basti fantasti
[2010.09.21 10:45:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\MSNInstaller
[2010.09.19 20:43:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Avira
[2010.09.18 17:22:50 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2010.09.18 17:22:49 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.09.18 17:22:49 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.09.18 17:22:49 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.09.18 17:22:49 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.09.18 17:22:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2010.09.18 17:02:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Malwarebytes
[2010.09.18 17:02:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.09.18 16:49:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\GetRightToGo
[2010.09.18 11:05:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\.kde
[2010.09.07 12:24:20 | 000,000,000 | ---D | C] -- C:\Programme\AviSynth 2.5
[2010.08.29 17:43:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Ich\f4
[2010.08.29 17:27:23 | 000,000,000 | ---D | C] -- C:\Programme\TUT
[2010.08.29 17:27:07 | 000,304,128 | ---- | C] (InstallShield Corporation, Inc.) -- C:\WINDOWS\unin0407.exe
[2009.06.23 11:49:14 | 000,010,752 | ---- | C] ( ) -- C:\WINDOWS\System32\a3d.dll
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.09.24 17:13:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Ich\Desktop\OTL.exe
[2010.09.24 16:54:02 | 000,001,148 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-1123561945-725345543-1004Core1cb29ad587de64.job
[2010.09.24 16:49:22 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Ich\Desktop\HiJackThis204.exe
[2010.09.24 16:42:08 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.09.24 15:02:50 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.09.24 15:02:24 | 004,932,302 | ---- | M] () -- C:\WINDOWS\{00000005-00000000-00000008-00001102-00000004-20021102}.CDF
[2010.09.24 15:02:24 | 000,186,500 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.09.24 15:02:16 | 000,001,078 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.09.24 15:02:16 | 000,000,266 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-1993962763-1123561945-725345543-1004.job
[2010.09.24 15:00:32 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.09.24 15:00:30 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.09.24 13:20:32 | 000,032,592 | ---- | M] () -- C:\WINDOWS\System32\BMXStateBkp-{00000005-00000000-00000008-00001102-00000004-20021102}.rfx
[2010.09.24 13:20:32 | 000,032,592 | ---- | M] () -- C:\WINDOWS\System32\BMXState-{00000005-00000000-00000008-00001102-00000004-20021102}.rfx
[2010.09.24 13:20:32 | 000,032,088 | ---- | M] () -- C:\WINDOWS\System32\BMXCtrlState-{00000005-00000000-00000008-00001102-00000004-20021102}.rfx
[2010.09.24 13:20:32 | 000,032,088 | ---- | M] () -- C:\WINDOWS\System32\BMXBkpCtrlState-{00000005-00000000-00000008-00001102-00000004-20021102}.rfx
[2010.09.24 13:20:32 | 000,011,564 | ---- | M] () -- C:\WINDOWS\System32\DVCState-{00000005-00000000-00000008-00001102-00000004-20021102}.rfx
[2010.09.24 13:20:24 | 009,437,184 | ---- | M] () -- C:\Dokumente und Einstellungen\Ich\ntuser.dat
[2010.09.24 13:20:24 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Ich\ntuser.ini
[2010.09.24 13:20:18 | 004,932,302 | ---- | M] () -- C:\WINDOWS\{00000005-00000000-00000008-00001102-00000004-20021102}.BAK
[2010.09.24 13:13:24 | 000,154,624 | ---- | M] () -- C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.09.24 12:53:50 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.09.21 13:29:44 | 000,000,558 | ---- | M] () -- C:\Dokumente und Einstellungen\Ich\Desktop\CCleaner.lnk
[2010.09.21 13:04:36 | 000,000,517 | ---- | M] () -- C:\Dokumente und Einstellungen\Ich\Desktop\RootKit Hook Analyzer.lnk
[2010.09.21 12:21:02 | 000,000,274 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-1993962763-1123561945-725345543-1004.job
[2010.09.19 17:56:16 | 000,001,125 | ---- | M] () -- C:\WINDOWS\winamp.ini
[2010.09.18 17:23:06 | 000,000,759 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.09.18 15:38:36 | 000,000,202 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.09.18 13:41:26 | 000,001,856 | -H-- | M] () -- C:\Dokumente und Einstellungen\Ich\Eigene Dateien\Default.rdp
[2010.09.16 12:41:56 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.09.13 18:40:48 | 000,000,169 | -HS- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2010.09.12 13:14:00 | 000,564,766 | ---- | M] () -- C:\Dokumente und Einstellungen\Ich\Desktop\STE-006.mp3
[2010.09.11 13:05:16 | 000,009,334 | ---- | M] () -- C:\Dokumente und Einstellungen\Ich\Desktop\gerhard.rtf
[2010.08.29 17:37:42 | 000,000,646 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\f4.lnk
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.09.21 13:29:42 | 000,000,558 | ---- | C] () -- C:\Dokumente und Einstellungen\Ich\Desktop\CCleaner.lnk
[2010.09.21 13:04:34 | 000,000,517 | ---- | C] () -- C:\Dokumente und Einstellungen\Ich\Desktop\RootKit Hook Analyzer.lnk
[2010.09.21 12:06:29 | 004,932,302 | ---- | C] () -- C:\WINDOWS\{00000005-00000000-00000008-00001102-00000004-20021102}.BAK
[2010.09.18 17:23:05 | 000,000,759 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.09.18 15:29:20 | 000,564,766 | ---- | C] () -- C:\Dokumente und Einstellungen\Ich\Desktop\STE-006.mp3
[2010.09.11 13:03:42 | 000,009,334 | ---- | C] () -- C:\Dokumente und Einstellungen\Ich\Desktop\gerhard.rtf
[2010.08.29 17:37:40 | 000,000,646 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\f4.lnk
[2010.07.24 14:28:28 | 000,000,045 | ---- | C] () -- C:\WINDOWS\Atlas.INI
[2010.07.07 16:19:32 | 000,156,048 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010.06.28 14:04:20 | 000,139,152 | ---- | C] () -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\PnkBstrK.sys
[2010.02.12 19:36:35 | 000,000,015 | ---- | C] () -- C:\WINDOWS\System32\asdrawim.ini
[2009.06.23 12:29:50 | 000,049,719 | ---- | C] () -- C:\WINDOWS\System32\instwdm.ini
[2009.06.23 12:29:48 | 000,000,054 | ---- | C] () -- C:\WINDOWS\System32\ctzapxx.ini
[2009.06.23 11:51:00 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CTBurst.dll
[2009.03.09 15:29:00 | 000,000,169 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2009.02.17 14:47:33 | 000,001,932 | ---- | C] () -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\HPCOM_48BitScanUpdate.log
[2009.02.17 14:47:33 | 000,000,214 | ---- | C] () -- C:\WINDOWS\HP_48BitScanUpdatePatch.ini
[2009.02.17 14:13:06 | 000,000,136 | ---- | C] () -- C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.10.23 20:39:32 | 000,000,026 | ---- | C] () -- C:\WINDOWS\Pp70.INI
[2008.10.02 11:58:18 | 000,000,351 | ---- | C] () -- C:\WINDOWS\pdf2word.INI
[2008.10.02 11:50:01 | 000,000,028 | ---- | C] () -- C:\WINDOWS\pdf995.ini
[2008.10.02 11:43:32 | 000,051,716 | ---- | C] () -- C:\WINDOWS\System32\pdf995mon.dll
[2008.10.02 11:43:32 | 000,000,059 | ---- | C] () -- C:\WINDOWS\wpd99.drv
[2008.05.31 21:24:34 | 000,408,576 | ---- | C] () -- C:\WINDOWS\System32\Smab.dll
[2008.05.31 21:24:29 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2008.05.31 21:24:09 | 000,027,648 | -HS- | C] () -- C:\WINDOWS\System32\Smab0.dll
[2008.05.16 14:01:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2008.05.16 14:01:00 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2008.05.16 14:01:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2008.05.16 14:01:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2008.05.16 14:01:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2008.05.10 16:37:17 | 000,164,352 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2008.05.10 16:37:15 | 000,755,027 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2008.05.10 16:37:15 | 000,159,839 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2008.05.10 16:37:15 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008.05.10 16:37:15 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2008.04.18 14:11:15 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\CNMVS64.DLL
[2008.03.30 19:31:54 | 000,005,428 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2007.12.21 15:09:20 | 000,000,089 | ---- | C] () -- C:\WINDOWS\ULead32.ini
[2007.12.21 10:34:44 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2007.08.13 20:45:02 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\ctmmactl.dll
[2007.05.13 12:57:15 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\MGXRDR32.DLL
[2007.05.13 12:57:15 | 000,306,688 | ---- | C] () -- C:\WINDOWS\System32\LFFPX7.DLL
[2007.05.13 12:57:15 | 000,116,736 | ---- | C] () -- C:\WINDOWS\System32\PCDLIB32.DLL
[2007.05.13 12:57:15 | 000,095,232 | ---- | C] () -- C:\WINDOWS\System32\LFKODAK.DLL
[2007.05.13 12:57:14 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\MSVCRT10.DLL
[2007.05.13 12:56:42 | 000,082,944 | ---- | C] () -- C:\WINDOWS\System32\Ppiv20.dll
[2007.05.05 13:43:07 | 000,034,308 | ---- | C] () -- C:\WINDOWS\System32\BASSMOD.dll
[2007.04.25 10:32:33 | 000,000,202 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2007.04.22 14:13:17 | 000,001,125 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2007.04.22 13:57:07 | 000,154,624 | ---- | C] () -- C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.04.22 13:52:26 | 000,000,231 | ---- | C] () -- C:\WINDOWS\AC3API.INI
[2007.04.22 13:51:52 | 000,043,517 | ---- | C] () -- C:\WINDOWS\System32\e10kxwdm.ini
[2007.04.22 13:51:22 | 000,005,515 | ---- | C] () -- C:\WINDOWS\System32\ENSDEF.INI
[2007.04.22 13:49:00 | 000,000,125 | ---- | C] () -- C:\WINDOWS\SBWIN.INI
[2007.04.22 13:02:11 | 000,000,269 | R--- | C] () -- C:\WINDOWS\System32\raidmgmt.ini
[2007.04.22 13:02:05 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2007.04.22 13:02:02 | 000,005,546 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2007.04.22 13:01:56 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2007.04.12 08:10:28 | 000,105,728 | ---- | C] () -- C:\WINDOWS\System32\APOMgrH.dll
[2007.03.12 12:01:30 | 000,217,088 | ---- | C] () -- C:\WINDOWS\NVGfxOgl.dll
[2006.10.16 07:58:14 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\aspolyzt.dll
[2006.10.02 17:25:18 | 000,000,307 | ---- | C] () -- C:\WINDOWS\System32\kill.ini
[2005.07.06 11:59:58 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\asdrawli.dll
[2005.07.04 14:17:30 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\ASDRAWMA.DLL
[2004.08.17 16:34:52 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\AS_SORT.DLL
[2003.05.22 11:31:44 | 000,033,792 | ---- | C] () -- C:\WINDOWS\System32\ASDRAW32.DLL
[2002.07.12 15:29:28 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\AS_MDB32.DLL

[color=#E56717]========== LOP Check ==========[/color]

[2007.12.21 15:03:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2008.01.11 13:48:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
[2008.08.03 11:54:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2008.10.02 11:43:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
[2009.03.09 15:29:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
[2009.03.09 15:39:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
[2009.04.17 14:46:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KONAMI
[2009.06.26 21:13:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fluxDVD
[2009.06.26 21:13:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mpDRM
[2010.02.13 18:48:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cadsoft
[2010.02.25 11:08:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg9
[2010.09.21 10:55:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2010.02.12 19:32:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\ASCON Installer
[2007.04.22 14:45:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\ICQLite
[2010.02.12 19:35:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\ASCON Programme
[2010.02.13 14:40:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\VitySoft
[2010.09.18 11:05:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\.kde
[2010.09.18 16:49:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\GetRightToGo
[2010.09.21 10:45:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\MSNInstaller
[2007.08.11 22:17:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\temp
[2007.12.21 15:04:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Ulead Systems
[2008.07.01 21:57:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\ICQ
[2008.08.14 12:21:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\LG Electronics
[2008.10.02 11:50:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\pdf995
[2010.07.29 15:19:14 | 000,000,456 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job

[color=#E56717]========== Purity Check ==========[/color]



[color=#E56717]========== Files - Unicode (All) ==========[/color]
[2008.08.14 12:40:54 | 000,000,000 | ---D | M](C:\Dokumente und Einstellungen\Ich\Eigene Dateien\? CYON) -- C:\Dokumente und Einstellungen\Ich\Eigene Dateien\내 CYON
[2008.08.14 12:40:52 | 000,000,000 | ---D | C](C:\Dokumente und Einstellungen\Ich\Eigene Dateien\? CYON) -- C:\Dokumente und Einstellungen\Ich\Eigene Dateien\내 CYON
< End of report >



2. OTL Extras

Code

 OTL Extras logfile created on: 24.09.2010 17:19:05 - Run 1
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Dokumente und Einstellungen\Ich\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.023,00 Mb Total Physical Memory | 616,00 Mb Available Physical Memory | 60,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19,51 Gb Total Space | 1,77 Gb Free Space | 9,08% Space Free | Partition Type: FAT32
Drive D: | 133,85 Gb Total Space | 26,28 Gb Free Space | 19,63% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 3,80 Gb Total Space | 3,04 Gb Free Space | 80,02% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: BASTIAN
Current User Name: Ich
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "D:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "D:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- D:\PROGRA~1\MICROS~1\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[color=#E56717]========== System Restore Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

[color=#E56717]========== Firewall Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0224CACC-994D-45F8-B973-D65056EA9C2F}" = Adobe XMP DVA Panels CS3
"{04AF207D-9A77-465A-8B76-991F6AB66245}" = Adobe Help Viewer CS3
"{08B32819-6EEF-4057-AEDA-5AB681A36A23}" = Adobe Bridge Start Meeting
"{08CA9554-B5FE-4313-938F-D4A417B81175}" = QuickTime
"{0E4BC542-9CFD-4E97-B586-9F1E5516E7B9}" = Microsoft IntelliPoint 6.1
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1F63ED0B-EDD2-4037-B6AB-1358C624AF48}" = Scan
"{21DBBDD6-93A5-4326-9A04-C9A5C9148502}" = Norton PartitionMagic
"{21E75254-410E-49C4-8981-2E1A2A2221F2}" = HP Diagnostic Assistant
"{2405665A-16C9-4D3A-B70E-F006220E1472}" = Overland
"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0
"{267868CE-6DFF-40F7-9C58-C01119B7B117}" = Fax
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 21
"{2F71F2BA-B513-4113-969C-18A84D238E27}" = 1310
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java(TM) SE Runtime Environment 6 Update 1
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{34A59AC3-6C5C-4A09-A7F5-369A37176C8A}" = AiOSoftware
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{44734179-8A79-4DEE-BB08-73037F065543}" = Apple Mobile Device Support
"{457791C5-D702-4143-A7B2-2744BE9573F2}" = HP Software Update
"{470F9B02-EBB5-11D4-9957-0000E89E8230}" = Granite
"{485ACF57-F364-440A-8496-E1E81C8FA1AA}" = Adobe Premiere Pro CS3 Third Party Content
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{50F102CA-4BE2-41A9-9810-5BB05EB91B9A}" = Adobe Premiere Pro CS3 Functional Content
"{54793AA1-5001-42F4-ABB6-C364617C6078}" = Adobe Linguistics CS3
"{58DCEEE5-532E-44F4-B1D7-A146EF9E9FDA}" = Adobe Premiere Pro CS3
"{597D73A8-5FDB-4bc1-9893-40B54459F1BC}" = ProductContext
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6059C682-4C5F-4106-8487-943E98225D3B}" = LG MC USB Modem driver
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6ABE0BEE-D572-4FE8-B434-9E72A289431B}" = Adobe Fonts All
"{6FE3B0CE-37C1-4825-908A-5A84C9B4EC2F}" = EA SPORTS(TM) FIFA Online
"{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}" = Adobe Asset Services CS3
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7C7F30F4-94E7-4AA8-8941-90C4A80C68BF}" = NVIDIA nTune
"{80413011-029C-4D6B-B3AD-725DDE60B81C}" = 1310Trb
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}" = Adobe Device Central CS3
"{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}" = Adobe Type Support
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00B2-0407-0000-0000000FF1CE}" = Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme
"{90176341-0A8B-4CCC-A78D-F862228A6B95}" = Adobe Anchor Service CS3
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{9C9824D9-9000-4373-A6A5-D0E5D4831394}" = Adobe Bridge CS3
"{9E2514D9-DC24-4634-B348-61F3EF0F1628}" = Sound Blaster Audigy 2 ZS
"{9F70BF98-003C-491D-81FC-FF9792206AF0}" = iTunes
"{A1062847-0846-427A-92A1-BB8251A91E91}" = HP PSC & OfficeJet 4.2
"{A2500497-FD32-493e-B8E5-28D6728DBEF5}" = Readme
"{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}" = Adobe CMaps
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A4EA3AB4-E78C-4286-96DF-26035507CE55}" = AiO_Scan
"{A8DB611A-D80E-450D-85F6-3ACDD164BE31}" = Pro Evolution Soccer 2009
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}" = Adobe Camera Raw 4.0
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}" = Apple Software Update
"{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}" = Adobe Default Language CS3
"{BB81360F-041C-4CF7-B15E-71380D154244}" = Adobe Setup
"{BEEFC4F8-2909-48B3-AFAA-55D3533FDEDD}" = Creative MediaSource 5
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}" = Adobe ExtendScript Toolkit 2
"{C3ABE126-2BB2-4246-BFE1-6797679B3579}" = LG USB Modem driver
"{C73A3AB4-99A4-45E5-B77F-09A3065E0D6A}" = Microsoft IntelliType Pro 6.1
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0DFF92A-492E-4C40-B862-A74A173C25C5}" = Adobe Version Cue CS3 Client
"{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}" = Adobe PDF Library Files
"{D45E8C45-B601-4A80-AFD8-E16338744DE1}" = ArcSoft Panorama Maker 4
"{D5A31AB1-345D-47C7-A87B-036A669F6DF1}" = Adobe XMP Panels CS3
"{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}" = Adobe Color Common Settings
"{E21658D0-8C83-4ADD-937B-6ED07F335ABA}" = 1310Tour
"{E69AE897-9E0B-485C-8552-7841F48D42D8}" = Adobe Update Manager CS3
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E90BEB5B-CFA0-418E-9ABB-4C4A7B0D9483}" = 1310_Help
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F4F4F84E-804F-4E9A-84D7-C34283F0088F}" = RealUpgrade 1.0
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"3D Live Snooker_is1" = 3D Live Snooker v2.70
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Adobe_32fdd767b4383606e8168e834af5d90" = Adobe Premiere Pro CS3
"Ares Tube_is1" = Ares Tube 3.2
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CANONBJ_Deinstall_CNMCP64.DLL" = Canon PIXMA iP4000
"CCleaner" = CCleaner
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Everest Poker" = Everest Poker (Remove Only)
"f4" = f4 3.1.0
"FLVPlayer" = FLV Player 1.3.3
"Foto-Mosaik_is1" = Foto-Mosaik 4.1.0
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.2
"FUSSBALL MANAGER 08" = FUSSBALL MANAGER 08
"Game Jackal_is1" = Game Jackal v3.1.2.2 (32 bit)
"GetRight Browser Plug-Ins" = GetRight Browser Plug-Ins (Firefox)
"Google Updater" = Google Updater
"HijackThis" = HijackThis 1.99.1
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"HookAnalyzer_is1" = RootKit Hook Analyzer 3.02
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"InstallShield_{7C7F30F4-94E7-4AA8-8941-90C4A80C68BF}" = NVIDIA nTune
"KLiteCodecPack_is1" = K-Lite Codec Pack 3.9.0 Full
"Micrografx Graphics Suite 2 Enterprise" = Micrografx Graphics Suite 2 Enterprise
"Micrografx Picture Publisher 7" = Micrografx Picture Publisher 7
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"Pixie_is1" = Pixie 1.4.1
"RealPlayer 12.0" = RealPlayer
"SopCast" = SopCast 3.2.4
"SUPER ©" = SUPER © Version 2008.bld.30 (Mar 22, 2008)
"TVAnts 1.0" = TVAnts 1.0
"VLC media player" = VideoLAN VLC media player 0.8.6f
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR archiver
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"WorldTravelAtlas V 2.0" = WorldTravelAtlas V 2.0
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0

[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
"sc10-DE_SEVENONE_MAIN" = Big Pizza Ski Challenge 2010
"TWS Demo" = TWS Demo

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 24.09.2010 06:56:56 | Computer Name = BASTIAN | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung update.exe, Version 10.0.0.29, fehlgeschlagenes
Modul update.exe, Version 10.0.0.29, Fehleradresse 0x0003013f.

Error - 24.09.2010 07:09:18 | Computer Name = BASTIAN | Source = Google Update | ID = 20
Description =

Error - 24.09.2010 09:02:32 | Computer Name = BASTIAN | Source = Google Update | ID = 20
Description =

Error - 24.09.2010 09:02:40 | Computer Name = BASTIAN | Source = JavaQuickStarterService | ID = 1
Description =

Error - 24.09.2010 09:09:19 | Computer Name = BASTIAN | Source = Google Update | ID = 20
Description =

Error - 24.09.2010 09:42:05 | Computer Name = BASTIAN | Source = Google Update | ID = 20
Description =

Error - 24.09.2010 10:09:19 | Computer Name = BASTIAN | Source = Google Update | ID = 20
Description =

Error - 24.09.2010 10:42:06 | Computer Name = BASTIAN | Source = Google Update | ID = 20
Description =

Error - 24.09.2010 11:09:33 | Computer Name = BASTIAN | Source = Google Update | ID = 20
Description =

Error - 24.09.2010 11:16:23 | Computer Name = BASTIAN | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung nero.exe, Version 6.6.0.16, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

[ System Events ]
Error - 24.09.2010 10:57:09 | Computer Name = BASTIAN | Source = Service Control Manager | ID = 7003
Description = Der Dienst "NLA (Network Location Awareness)" ist von folgendem, nicht
vorhandenem Dienst abhängig: Tcpip

Error - 24.09.2010 10:58:29 | Computer Name = BASTIAN | Source = Service Control Manager | ID = 7003
Description = Der Dienst "NLA (Network Location Awareness)" ist von folgendem, nicht
vorhandenem Dienst abhängig: Tcpip

Error - 24.09.2010 11:05:30 | Computer Name = BASTIAN | Source = Service Control Manager | ID = 7003
Description = Der Dienst "NLA (Network Location Awareness)" ist von folgendem, nicht
vorhandenem Dienst abhängig: Tcpip

Error - 24.09.2010 11:15:30 | Computer Name = BASTIAN | Source = Service Control Manager | ID = 7003
Description = Der Dienst "NLA (Network Location Awareness)" ist von folgendem, nicht
vorhandenem Dienst abhängig: Tcpip

Error - 24.09.2010 11:16:10 | Computer Name = BASTIAN | Source = Service Control Manager | ID = 7003
Description = Der Dienst "NLA (Network Location Awareness)" ist von folgendem, nicht
vorhandenem Dienst abhängig: Tcpip

Error - 24.09.2010 11:16:58 | Computer Name = BASTIAN | Source = Service Control Manager | ID = 7003
Description = Der Dienst "NLA (Network Location Awareness)" ist von folgendem, nicht
vorhandenem Dienst abhängig: Tcpip

Error - 24.09.2010 11:17:38 | Computer Name = BASTIAN | Source = Service Control Manager | ID = 7003
Description = Der Dienst "NLA (Network Location Awareness)" ist von folgendem, nicht
vorhandenem Dienst abhängig: Tcpip

Error - 24.09.2010 11:18:18 | Computer Name = BASTIAN | Source = Service Control Manager | ID = 7003
Description = Der Dienst "NLA (Network Location Awareness)" ist von folgendem, nicht
vorhandenem Dienst abhängig: Tcpip

Error - 24.09.2010 11:20:30 | Computer Name = BASTIAN | Source = Service Control Manager | ID = 7003
Description = Der Dienst "NLA (Network Location Awareness)" ist von folgendem, nicht
vorhandenem Dienst abhängig: Tcpip

Error - 24.09.2010 11:21:10 | Computer Name = BASTIAN | Source = Service Control Manager | ID = 7003
Description = Der Dienst "NLA (Network Location Awareness)" ist von folgendem, nicht
vorhandenem Dienst abhängig: Tcpip


< End of report >



3. GMER

Code

 GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-09-24 18:02:59
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\Ich\LOKALE~1\Temp\pwldqpow.sys


---- System - GMER 1.0.15 ----

SSDT            F7A9A6E6                                                                                                             ZwCreateKey
SSDT            F7A9A6DC                                                                                                             ZwCreateThread
SSDT            F7A9A6EB                                                                                                             ZwDeleteKey
SSDT            F7A9A6F5                                                                                                             ZwDeleteValueKey
SSDT            F7A9A6FA                                                                                                             ZwLoadKey
SSDT            F7A9A6C8                                                                                                             ZwOpenProcess
SSDT            F7A9A6CD                                                                                                             ZwOpenThread
SSDT            F7A9A704                                                                                                             ZwReplaceKey
SSDT            F7A9A6FF                                                                                                             ZwRestoreKey
SSDT            F7A9A6F0                                                                                                             ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

init            C:\WINDOWS\system32\drivers\nvax.sys                                                                                 entry point in "init" section [0xF7540A0C]
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                             section is writeable [0xF6972360, 0x37388D, 0xE8000020]

---- Devices - GMER 1.0.15 ----

Device          \Driver\prodrv06 \Device\ProDrv06                                                                                    E19C7280
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                          prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                   prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                   prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e                                                                          prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\prohlp02 \Device\ProHlp02                                                                                    E1821EF8
Device          \Driver\nvgts \Device\Scsi\nvgts1                                                                                    prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\nvgts \Device\Scsi\nvgts2                                                                                    prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                             fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0xB8 0x70 0x29 0x45 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      D:\Programme\DAEMON Tools\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x33 0xD4 0x26 0xA0 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x73 0x18 0x22 0x54 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x40 0x36 0xAE 0x5A ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0xB8 0x70 0x29 0x45 ...

---- EOF - GMER 1.0.15 ----  



Vielen Dank für eure Hilfe!
Seitenanfang Seitenende
25.09.2010, 14:33
Moderator

Beiträge: 5694
#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:

Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Die Programme musst Du auf dem anderen PC laden und dann auf den infizierten mittels Stick bringen.


Schritt 1

CD-Emulatoren mit DeFogger deaktivieren

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
• Starte das Tool mit Doppelklick.
Vista User: Bitte mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
• DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.



Schritt 2

Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows

Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast.
Wähle hier:Abgesicherter Modus mit Netzwerktreibern

Schritt 3

Proxy deaktivieren

IE => Extras => Internetoptionen => Verbindungen => Lan-Einstellungen
Haken bei Proxyserver für LAN verwenden und Proxyserver für lokale Adressen umgehen entfernen

Firefox => Extras => Einstellungen => Erweitert => Netzwerk => Einstellungen.
Dort unter Verbindungs-Einstellungen => Kein Proxy anhaken.

Schritt 4

Rkill anwenden


• Download rkill.com auf den Desktop Desktop.
• Starte per Doppelklick rkill.com und führe das Programm aus (kann etwas dauern)…
• Am Ende wird das schwarze Fenster von rkill.com automatisch geschlossen.
• Wenn eine Meldung von Deiner Sicherheitslösung kommt rkill.com sei Malware, erlaube rkill.com als „Ausnahme“.
• Bitte poste mir das Logfile.


Schritt 5

Downloade Malwarebytes Anti-Malware (ca. 2 MB) von diesen Downloadspiegel:

Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Updates), wenn das nicht automatisch passiert (ca. 1 MB).
• Aktiviere "Komplett Scan durchführen" => Scan.
• Wähle alle verfügbaren Laufwerke aus und starte den Scan.
• Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
• Versichere Dich, dass alle Funde markiert sind und drücke "Löschen".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
• Berichte, wie der Rechner nun läuft.
Hier findest Du eine ausführliche und bebilderte Anleitung.
Seitenanfang Seitenende
26.09.2010, 14:52
Member

Themenstarter

Beiträge: 12
#3 Hallo,
vielen Dank schonmal für deine Antwort!
Habe alles so gemacht, wie du es beschrieben hast. Ich beschreibe einfach mal, was mir aufgefallen ist, weil ich nicht weiß, was davon wichtig sein könnte:
1. defogger hat nicht von sich aus zu einem Neustart aufgefordert. Habe trotzdem neu gestartet und das Logfile war da.
2. rkill wollte irgendwie nicht.
3. Malwarebytes Anti-Malware konnte ich nicht updaten, da ja mein Internet nicht funktioniert.

Ansonsten läuft mein Rechner wie vorher. Eigentlich sehr stabil, nur mein Internet und die Firewall funktionieren nicht. Außerdem macht er eine lange Pause beim hochfahren, während das "Willkommen-Bild" angezeigt wird.

Hier die Logs:

1. defogger

Code

 defogger_disable by jpshortstuff (23.02.10.1)
Log created at 13:38 on 26/09/2010 (Ich)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-


2. rkill

Code

 This log file is located at C:\rkill.log. 
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Ich on 26.09.2010 at 13:52:26.


Services Stopped:


Processes terminated by Rkill or while it was running:


C:\Dokumente und Einstellungen\Ich\Desktop\rkill.com


Rkill completed on 26.09.2010  at 13:52:28.


3. Malwarebytes

Code

 Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.13

26.09.2010 14:28:47
mbam-log-2010-09-26 (14-28-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 269012
Laufzeit: 31 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Programme\Firefox\plugins\alhlp.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
D:\Programme\Firefox\plugins\npalnn.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.


Vielen Dank für Deine Hilfe!
Seitenanfang Seitenende
26.09.2010, 21:50
Moderator

Beiträge: 5694
#4 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

BleepingComputer
ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.
Seitenanfang Seitenende
27.09.2010, 11:00
Member

Themenstarter

Beiträge: 12
#5 Hallo,
habe das Programm runtergeladen und ausgeführt. Es kam dann aber die Fehlermeldung, dass ich die Microsoft-Wiederherstellungskonsole nicht installiert habe. Ich konnte sie dann auch nicht über Combofix runterladen, weil meine Internetverbindung nicht funktioniert. Den Suchlauf habe ich dann trotzdem machen lassen. Habe dann im Internet nach einer Lösung gesucht und wollte sie über die XP-CD installieren. Da kam dann die Fehlermeldung, dass die installierte Version neuer sei, als die auf der CD. Danach kam trotzdem die Frage, ob ich es installieren möchte, was ich dann auch getan habe. Beim Neustart konnte ich dann auch beim booten auswählen, ob ich Windows Normal oder die Wiederherstellungskonsole starten möchte. Habe dann erstmal normal gestartet, dann kam wieder die Fehlermeldung bei Combofix. Habe dann beim nächsten Startversuch die Wiederherstellungskonsole gestartet, was auch funktioniert hat. Trotzdem die Fehlermeldung bei Combo-Fix.

Hier trotzdem das Log von dem zweiten Suchlauf nach der vermeintlichen Installation der Wiederherstellunskonsole:

Code


ComboFix 10-09-26.02 - Ich 27.09.2010  10:45:33.2.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.600 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ich\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-08-27 bis 2010-09-27  ))))))))))))))))))))))))))))))
.

2010-09-26 11:53 . 2010-04-29 13:39    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-26 11:53 . 2010-09-26 11:53    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-09-26 11:53 . 2010-04-29 13:39    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-21 11:29 . 2010-09-21 11:29    --------    d-----w-    c:\programme\CCleaner
2010-09-21 11:04 . 2010-09-21 11:04    --------    d-----w-    c:\programme\RootKit Hook Analyzer
2010-09-21 11:04 . 2007-07-06 22:39    19248    ----a-w-    c:\windows\system32\drivers\rspsc32.sys
2010-09-21 08:45 . 2010-09-21 08:45    --------    d-----w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\MSNInstaller
2010-09-19 18:43 . 2010-09-19 18:43    --------    d--h--w-    c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2010-09-19 18:43 . 2010-09-19 18:43    --------    d--h--w-    c:\dokumente und einstellungen\Administrator\Druckumgebung
2010-09-19 18:43 . 2010-09-19 18:43    --------    d-----w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\Avira
2010-09-19 18:43 . 2010-09-19 18:43    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft Help
2010-09-19 18:43 . 2010-09-19 18:43    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Favoriten
2010-09-19 18:43 . 2010-09-19 18:43    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-09-19 18:43 . 2010-09-19 18:43    --------    d-----r-    c:\dokumente und einstellungen\Administrator\Startmenü
2010-09-18 16:35 . 2010-09-18 16:35    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-09-18 15:41 . 2007-04-22 10:53    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
2010-09-18 15:41 . 2007-04-22 10:43    --------    d--h--w-    c:\dokumente und einstellungen\Administrator\Vorlagen
2010-09-18 15:41 . 2007-04-22 10:43    --------    d--h--w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2010-09-18 15:41 . 2007-04-22 10:43    --------    d--h--r-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2010-09-18 15:41 . 2010-09-18 15:41    --------    d-----w-    c:\dokumente und einstellungen\Administrator
2010-09-18 15:22 . 2010-03-01 08:05    124784    ----a-w-    c:\windows\system32\drivers\avipbb.sys
2010-09-18 15:22 . 2010-02-16 12:24    60936    ----a-w-    c:\windows\system32\drivers\avgntflt.sys
2010-09-18 15:22 . 2009-05-11 10:49    45416    ----a-w-    c:\windows\system32\drivers\avgntdd.sys
2010-09-18 15:22 . 2009-05-11 10:49    22360    ----a-w-    c:\windows\system32\drivers\avgntmgr.sys
2010-09-18 15:22 . 2010-09-18 15:22    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-09-18 15:02 . 2010-09-18 15:02    --------    d-----w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\Malwarebytes
2010-09-18 15:02 . 2010-09-18 15:02    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-18 14:49 . 2010-09-18 14:49    --------    d-----w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\GetRightToGo
2010-09-18 09:05 . 2010-09-18 09:05    --------    d-----w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\.kde
2010-09-07 10:24 . 2007-04-22 10:52    --------    d-----w-    c:\programme\AviSynth 2.5
2010-08-29 15:43 . 2010-08-29 15:43    --------    d-----w-    c:\dokumente und einstellungen\Ich\f4
2010-08-29 15:27 . 2010-08-29 15:27    --------    d-----w-    c:\programme\TUT
2010-08-29 15:27 . 1999-03-23 07:12    304128    ----a-w-    c:\windows\unin0407.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-26 11:54 . 2008-09-21 14:43    664    ----a-w-    c:\windows\system32\d3d9caps.dat
2010-08-17 13:17 . 2004-08-04 10:00    58880    ----a-w-    c:\windows\system32\spoolsv.exe
2010-08-12 08:15 . 2010-08-12 08:15    503808    ----a-w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-619ff148-n\msvcp71.dll
2010-08-12 08:15 . 2010-08-12 08:15    499712    ----a-w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-619ff148-n\jmc.dll
2010-08-12 08:15 . 2010-08-12 08:15    348160    ----a-w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-619ff148-n\msvcr71.dll
2010-08-12 08:15 . 2010-08-12 08:15    12800    ----a-w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-365282bc-n\decora-d3d.dll
2010-08-12 08:15 . 2010-08-12 08:15    61440    ----a-w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-365282bc-n\decora-sse.dll
2010-08-11 20:50 . 2004-08-04 10:00    84318    ----a-w-    c:\windows\system32\perfc007.dat
2010-08-11 20:50 . 2004-08-04 10:00    458476    ----a-w-    c:\windows\system32\perfh007.dat
2010-07-22 15:48 . 2004-08-04 10:00    590848    ----a-w-    c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25    5632    ----a-w-    c:\windows\system32\xpsp4res.dll
2010-07-17 03:00 . 2010-06-08 07:47    423656    ----a-w-    c:\windows\system32\deployJava1.dll
2010-07-14 10:45 . 2007-04-27 13:07    55192    ----a-w-    c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-07 14:19 . 2010-07-07 14:19    156048    ----a-w-    c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-06-30 12:28 . 2004-08-04 10:00    149504    ----a-w-    c:\windows\system32\schannel.dll
2006-05-03 10:06 . 2008-05-31 19:24    163328    --sh--r-    c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-05-31 19:24    31232    --sh--r-    c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-05-31 19:24    27648    --sh--w-    c:\windows\system32\Smab0.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVIDIA nTune"="d:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-09-04 81920]
"NBJ"="d:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984]
"Google Update"="c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2010-03-18 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTSysVol"="c:\programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]
"CTDVDDET"="c:\programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-17 45056]
"SBDrvDet"="c:\programme\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2007-02-05 849280]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2006-11-21 813912]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="d:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"nwiz"="nwiz.exe" [2008-05-16 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"CTHelper"="CTHELPER.EXE" [2009-06-23 19456]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-03-09 202256]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R3 COMMONFX.SYS;COMMONFX.SYS;c:\windows\system32\drivers\COMMONFX.sys [23.06.2009 13:34 99352]
R3 CTAUDFX.SYS;CTAUDFX.SYS;c:\windows\system32\drivers\CTAUDFX.sys [23.06.2009 13:34 555032]
R3 CTSBLFX.SYS;CTSBLFX.SYS;c:\windows\system32\drivers\CTSBLFX.sys [23.06.2009 13:34 566296]
R3 MaplomL;MaplomL;c:\windows\system32\drivers\maploml.sys [09.03.2009 15:44 40072]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S0 vcaoiqg;vcaoiqg;c:\windows\system32\drivers\rgwaosj.sys --> c:\windows\system32\drivers\rgwaosj.sys [?]
S2 PfDetNT;PfDetNT;\??\c:\windows\system32\drivers\PfModNT.sys --> c:\windows\system32\drivers\PfModNT.sys [?]
S3 COMMONFX;COMMONFX;c:\windows\system32\drivers\COMMONFX.sys [23.06.2009 13:34 99352]
S3 CTAUDFX;CTAUDFX;c:\windows\system32\drivers\CTAUDFX.sys [23.06.2009 13:34 555032]
S3 CTERFXFX.SYS;CTERFXFX.SYS;c:\windows\system32\drivers\CTERFXFX.sys [23.06.2009 13:35 100888]
S3 CTERFXFX;CTERFXFX;c:\windows\system32\drivers\CTERFXFX.sys [23.06.2009 13:35 100888]
S3 CTSBLFX;CTSBLFX;c:\windows\system32\drivers\CTSBLFX.sys [23.06.2009 13:34 566296]
.
Inhalt des "geplante Tasks" Ordners

2010-09-27 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-11-28 14:43]

2010-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-02 18:55]

2010-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-02 18:55]

2010-09-21 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1993962763-1123561945-725345543-1004.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

2010-09-27 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1993962763-1123561945-725345543-1004.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

2010-09-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-1123561945-725345543-1004Core1cb29ad587de64.job
- c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-07-20 08:37]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.zdv.uni-mainz.de/633.php
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
Handler: fluxhttp - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - c:\programme\Gemeinsame Dateien\fluxDVD\Lib\XEB\xebnavigation.ax
Handler: fluxhttp\0x00000007 - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - c:\programme\Gemeinsame Dateien\fluxDVD\Lib\XEB\xebnavigation.ax
FF - ProfilePath - c:\dokumente und einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\ch00qiw7.default\
FF - prefs.js: browser.startup.homepage - www.spiegel.de
FF - prefs.js: network.proxy.type - 0
FF - component: c:\dokumente und einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\ch00qiw7.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-27 10:49
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  CTHelper = CTHELPER.EXE?

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(284)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-09-27  10:50:20
ComboFix-quarantined-files.txt  2010-09-27 08:50
ComboFix2.txt  2010-09-27 08:33

Vor Suchlauf: 1.791.500.288 Bytes frei
Nach Suchlauf: 1.776.566.272 Bytes frei

- - End Of File - - 10414CDB109F8D8CD0B7A804783CCF2A


Danke schonmal!
Seitenanfang Seitenende
27.09.2010, 20:40
Moderator

Beiträge: 5694
#6 Combofix mit Skript laufen lassen

Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
Danach wieder anstellen nicht vergessen!

Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.


Anwendung

• Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:

Code

File::
c:\windows\system32\drivers\rgwaosj.sys

Driver::
vcaoiqg
• Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist.
.

.
• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
Seitenanfang Seitenende
27.09.2010, 21:17
Member

Themenstarter

Beiträge: 12
#7 Hallo,
hier das Log:

Code


ComboFix 10-09-26.02 - Ich 27.09.2010  21:02:42.3.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.609 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ich\Desktop\Combo-Fix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Ich\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\drivers\rgwaosj.sys"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_vcaoiqg


(((((((((((((((((((((((   Dateien erstellt von 2010-08-27 bis 2010-09-27  ))))))))))))))))))))))))))))))
.

2010-09-27 08:45 . 2010-09-27 08:45    --------    d-----w-    C:\Combo-Fix
2010-09-26 11:53 . 2010-04-29 13:39    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-26 11:53 . 2010-09-26 11:53    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-09-26 11:53 . 2010-04-29 13:39    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-21 11:29 . 2010-09-21 11:29    --------    d-----w-    c:\programme\CCleaner
2010-09-21 11:04 . 2010-09-21 11:04    --------    d-----w-    c:\programme\RootKit Hook Analyzer
2010-09-21 11:04 . 2007-07-06 22:39    19248    ----a-w-    c:\windows\system32\drivers\rspsc32.sys
2010-09-21 08:45 . 2010-09-21 08:45    --------    d-----w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\MSNInstaller
2010-09-19 18:43 . 2010-09-19 18:43    --------    d--h--w-    c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2010-09-19 18:43 . 2010-09-19 18:43    --------    d--h--w-    c:\dokumente und einstellungen\Administrator\Druckumgebung
2010-09-19 18:43 . 2010-09-19 18:43    --------    d-----w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\Avira
2010-09-19 18:43 . 2010-09-19 18:43    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft Help
2010-09-19 18:43 . 2010-09-19 18:43    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Favoriten
2010-09-19 18:43 . 2010-09-19 18:43    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-09-19 18:43 . 2010-09-19 18:43    --------    d-----r-    c:\dokumente und einstellungen\Administrator\Startmenü
2010-09-18 16:35 . 2010-09-18 16:35    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-09-18 15:41 . 2007-04-22 10:53    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
2010-09-18 15:41 . 2007-04-22 10:43    --------    d--h--w-    c:\dokumente und einstellungen\Administrator\Vorlagen
2010-09-18 15:41 . 2007-04-22 10:43    --------    d--h--w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2010-09-18 15:41 . 2007-04-22 10:43    --------    d--h--r-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2010-09-18 15:41 . 2010-09-18 15:41    --------    d-----w-    c:\dokumente und einstellungen\Administrator
2010-09-18 15:22 . 2010-03-01 08:05    124784    ----a-w-    c:\windows\system32\drivers\avipbb.sys
2010-09-18 15:22 . 2010-02-16 12:24    60936    ----a-w-    c:\windows\system32\drivers\avgntflt.sys
2010-09-18 15:22 . 2009-05-11 10:49    45416    ----a-w-    c:\windows\system32\drivers\avgntdd.sys
2010-09-18 15:22 . 2009-05-11 10:49    22360    ----a-w-    c:\windows\system32\drivers\avgntmgr.sys
2010-09-18 15:22 . 2010-09-18 15:22    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-09-18 15:02 . 2010-09-18 15:02    --------    d-----w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\Malwarebytes
2010-09-18 15:02 . 2010-09-18 15:02    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-18 14:49 . 2010-09-18 14:49    --------    d-----w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\GetRightToGo
2010-09-18 09:05 . 2010-09-18 09:05    --------    d-----w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\.kde
2010-09-07 10:24 . 2007-04-22 10:52    --------    d-----w-    c:\programme\AviSynth 2.5
2010-08-29 15:43 . 2010-08-29 15:43    --------    d-----w-    c:\dokumente und einstellungen\Ich\f4
2010-08-29 15:27 . 2010-08-29 15:27    --------    d-----w-    c:\programme\TUT
2010-08-29 15:27 . 1999-03-23 07:12    304128    ----a-w-    c:\windows\unin0407.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-26 11:54 . 2008-09-21 14:43    664    ----a-w-    c:\windows\system32\d3d9caps.dat
2010-08-17 13:17 . 2004-08-04 10:00    58880    ----a-w-    c:\windows\system32\spoolsv.exe
2010-08-12 08:15 . 2010-08-12 08:15    503808    ----a-w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-619ff148-n\msvcp71.dll
2010-08-12 08:15 . 2010-08-12 08:15    499712    ----a-w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-619ff148-n\jmc.dll
2010-08-12 08:15 . 2010-08-12 08:15    348160    ----a-w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-619ff148-n\msvcr71.dll
2010-08-12 08:15 . 2010-08-12 08:15    12800    ----a-w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-365282bc-n\decora-d3d.dll
2010-08-12 08:15 . 2010-08-12 08:15    61440    ----a-w-    c:\dokumente und einstellungen\Ich\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-365282bc-n\decora-sse.dll
2010-08-11 20:50 . 2004-08-04 10:00    84318    ----a-w-    c:\windows\system32\perfc007.dat
2010-08-11 20:50 . 2004-08-04 10:00    458476    ----a-w-    c:\windows\system32\perfh007.dat
2010-07-22 15:48 . 2004-08-04 10:00    590848    ----a-w-    c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25    5632    ----a-w-    c:\windows\system32\xpsp4res.dll
2010-07-17 03:00 . 2010-06-08 07:47    423656    ----a-w-    c:\windows\system32\deployJava1.dll
2010-07-14 10:45 . 2007-04-27 13:07    55192    ----a-w-    c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-07 14:19 . 2010-07-07 14:19    156048    ----a-w-    c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-06-30 12:28 . 2004-08-04 10:00    149504    ----a-w-    c:\windows\system32\schannel.dll
2006-05-03 10:06 . 2008-05-31 19:24    163328    --sh--r-    c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-05-31 19:24    31232    --sh--r-    c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-05-31 19:24    27648    --sh--w-    c:\windows\system32\Smab0.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVIDIA nTune"="d:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-09-04 81920]
"NBJ"="d:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 1961984]
"Google Update"="c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2010-03-18 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTSysVol"="c:\programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]
"CTDVDDET"="c:\programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-17 45056]
"SBDrvDet"="c:\programme\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2007-02-05 849280]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2006-11-21 813912]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="d:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"nwiz"="nwiz.exe" [2008-05-16 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"CTHelper"="CTHELPER.EXE" [2009-06-23 19456]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-03-09 202256]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [18.09.2010 17:22 135336]
R3 COMMONFX.SYS;COMMONFX.SYS;c:\windows\system32\drivers\COMMONFX.sys [23.06.2009 13:34 99352]
R3 CTAUDFX.SYS;CTAUDFX.SYS;c:\windows\system32\drivers\CTAUDFX.sys [23.06.2009 13:34 555032]
R3 CTSBLFX.SYS;CTSBLFX.SYS;c:\windows\system32\drivers\CTSBLFX.sys [23.06.2009 13:34 566296]
R3 MaplomL;MaplomL;c:\windows\system32\drivers\maploml.sys [09.03.2009 15:44 40072]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [02.07.2009 20:55 133104]
S2 PfDetNT;PfDetNT;\??\c:\windows\system32\drivers\PfModNT.sys --> c:\windows\system32\drivers\PfModNT.sys [?]
S3 COMMONFX;COMMONFX;c:\windows\system32\drivers\COMMONFX.sys [23.06.2009 13:34 99352]
S3 CTAUDFX;CTAUDFX;c:\windows\system32\drivers\CTAUDFX.sys [23.06.2009 13:34 555032]
S3 CTERFXFX.SYS;CTERFXFX.SYS;c:\windows\system32\drivers\CTERFXFX.sys [23.06.2009 13:35 100888]
S3 CTERFXFX;CTERFXFX;c:\windows\system32\drivers\CTERFXFX.sys [23.06.2009 13:35 100888]
S3 CTSBLFX;CTSBLFX;c:\windows\system32\drivers\CTSBLFX.sys [23.06.2009 13:34 566296]
.
Inhalt des "geplante Tasks" Ordners

2010-09-27 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-11-28 14:43]

2010-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-02 18:55]

2010-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-02 18:55]

2010-09-21 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1993962763-1123561945-725345543-1004.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

2010-09-27 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1993962763-1123561945-725345543-1004.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

2010-09-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-1123561945-725345543-1004Core1cb29ad587de64.job
- c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-07-20 08:37]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.zdv.uni-mainz.de/633.php
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
Handler: fluxhttp - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - c:\programme\Gemeinsame Dateien\fluxDVD\Lib\XEB\xebnavigation.ax
Handler: fluxhttp\0x00000007 - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - c:\programme\Gemeinsame Dateien\fluxDVD\Lib\XEB\xebnavigation.ax
FF - ProfilePath - c:\dokumente und einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\ch00qiw7.default\
FF - prefs.js: browser.startup.homepage - www.spiegel.de
FF - prefs.js: network.proxy.type - 0
FF - component: c:\dokumente und einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\ch00qiw7.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-27 21:10
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  CTHelper = CTHELPER.EXE?

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3324)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\RUNDLL32.EXE
d:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\CTsvcCDA.exe
d:\programme\Avira\AntiVir Desktop\avshadow.exe
d:\programme\Java\bin\jqs.exe
d:\programme\NVIDIA Corporation\nTune\nTuneService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\MsPMSPSv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-27  21:12:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-09-27 19:12
ComboFix2.txt  2010-09-27 08:50
ComboFix3.txt  2010-09-27 08:33

Vor Suchlauf: 1.743.052.800 Bytes frei
Nach Suchlauf: 1.637.703.680 Bytes frei

- - End Of File - - 4B2BF75B40BFE9614611A95C9523FB48
Seitenanfang Seitenende
27.09.2010, 22:09
Moderator

Beiträge: 5694
#8 Gehen wir einmal näher auf deine Internetverbindung ein. Also weder mit Kabel noch mit WLAN funktionierts?

Ping überprüfen

start --> ausführen --> cmd (reinschreiben) --> OK
Gib nun im dos fenster ipconfig ein.
Hier findest Du Deine IP- Adresse.
Gib nun ein ping, Deine IP- Adresse, Leerzeichen -t
Beispiel:
ping xx.xxx.xxx.xx -t

Lass das einmal 10 min laufen, Ende mit strg +c

Wieviel Pakete gingen verloren, oder braucht er manchmal mehr Zeit für ein Paket?
Seitenanfang Seitenende
28.09.2010, 20:31
Member

Themenstarter

Beiträge: 12
#9 Hallo,
danke für deine schnelle Antwort.
Ich habe kein WLAN und der PC erkennt nichtmal einen Unterschied, ob ein Kabel drin steckt oder nicht.

Wenn ich versuche über DOS meine IP herauszufinden, so wie du es beschrieben hast, kommt direkt nach der Eingabe "ipconfig" die Fehlermeldung: "Windows-IP-Konfiguration. Ein interner Fehler ist aufgetreten: Die Anforderung wird nicht unterstützt.

Soll ich vielleicht den Netzwerktreiber neu installieren? Meinst du denn mein System ist wieder so sauber, dass ich theoretisch wieder guten Gewissens ins Internet könnte?
Seitenanfang Seitenende
30.09.2010, 19:38
Moderator

Beiträge: 5694
#10 Also ich sehe keine Hinweise auf Malware. Da muss irgend ein Knopf in der Leitung sein. Ich könnte den Thread einmal verschieben in das Internet Forum. Danach würde ich gerne nochmals neue Logs sehen.
Seitenanfang Seitenende
01.10.2010, 09:56
Member

Themenstarter

Beiträge: 12
#11 Das hört sich ja schonmal gut an.
Du kannst den Thread gerne verschieben.

Vielen Dank schonmal!
Seitenanfang Seitenende
01.10.2010, 13:25
Moderator

Beiträge: 5694
#12 Beschreibe bitte nochmals genau die Internetprobleme und seit wann diese bestehen.
Seitenanfang Seitenende
02.10.2010, 15:45
Member

Themenstarter

Beiträge: 12
#13 Hallo,
seit einem Virenbefall funktioniert meine Firewall und meine Internetverbindung nicht mehr.
Direkt nach dem Virenbefall funktionierte sie noch, aber nach verschiedenen Bereinigungen ging gar nichts mehr. Die Firewall kann ich auch nicht manuell einschalten, dann kommt die Fehlermeldung: "Der Dienst "Windows Firewall/Internet Connection Sharing (ICS)" konnte nicht gestartet werden."

Mein Lan-Anschluss registriert nicht mal, ob überhaupt ein Kabel angeschlossen ist oder nicht. Ansonsten läuft mein System sehr stabil.

Hier nochmal die Details zu den Virenproblemen:
Letzten Samstag war ich im Internet unterwegs und auf einmal kam ein kurzer Bluescreen und der Rechner war aus. Beim erneuten hochfahren meldete sich Antivir. Er fand in der Datei tcpip.sys den "Virus" Win32/PatchedXD (oder so ähnlich, kann es leider nicht mehr nachvollziehen). Habe dann auch noch Antivir drüber laufen lassen. Der fand in derselben Datei den Virus TR/Rootkit.Gen3. Verschiedenen Anleitungen folgend, habe ich dann noch verschiedene Programme drüber laufen lassen. Im abgesicherten Modus wurde noch der Virus TR/Crypt.ZPACK.Gen3 gefunden (unter C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temp\1A4.tmp). Diese gennanten Funde konnten auch beseitigt werden.

Ich hoffe ihr könnt mir helfen ;)

Vielen Dank!
Seitenanfang Seitenende
04.10.2010, 08:33
Member
Avatar Gool

Beiträge: 4730
#14 Du kannst es erstmal mit der Systemdatei-Reparatur ausprobieren:

Start -> Ausführen -> sfc /scannow
Die XP-CD muss dazu eingelegt sein.

Außerdem die Treiber für die Netzwerkkarte neu installieren.

Falls das nicht hilft würde ich eine Reparaturinstallation von Windows in Betracht ziehen.

Windows-CD einlegen und den PC davon starten. Als erstes die Option "Windows installieren" wählen (nicht die Reparatur über die Wiederherstellungskonsole). Das Windows-Setup sucht dann nach vorhandenen Installationen und bietet Dir dann die Möglichkeit zur Reparatur an. Du benötigst dazu eine Windows-CD mit integriertem SP3. Falls Du die nicht hast, musst Du sie selbst erstellen. Eine Anleitung findest Du hier: http://www.wintotal.de/artikel/artikel-2008/185.html
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
05.10.2010, 20:05
Member

Themenstarter

Beiträge: 12
#15 Hallo,
danke für die Antwort.
Habe die Systemdatei-Reperatur durchgeführt. Die ist einfach gelaufen und hat danach nichts angezeigt. Ist das normal?

Habde dann die Ethernet-Treiber von meinem Mainboard neu installiert. Waren das die richtigen?

Bisher hat sich leider nichts geändert.

Bevor ich die Reperaturinstallation durchführe noch eine Fragen: Muss ich danach noch irgendwas anderes neu installieren oder sind danach irgendwelche Dateien weg? Habe Windows auf einer anderen Partition, als die meisten meiner Daten.

Danke
Seitenanfang Seitenende