Malware(?)-Befall, was nun?

#0
01.10.2010, 20:37
Member

Beiträge: 16
#1 Hallo Protectus Forum!

Ich habe aus dem Internet eine .exe-Datei heruntergeladen, mit AntiVir überprüft und dann ausgeführt. Zunächst passierte nichts, außer dass die Datei vom Desktop verschwand. Danach hat sich mehrmals der Internet-Explorer (den ich eigentlich nicht als Standardbrowser verwende) mit Werbeseiten geöffnet, die ich einfach immer geschlossen habe. Darauf folgte mehrmals eine englischsprachige Aufforderung, etwas von Adobe herunterzuladen, was ich ebenfalls geschlossen habe. Irgendwann erschien dann ein Fenster, welches momentan auch immer nach dem Reboot kommt (Microsoft Security Essentials Alert), welches mich zum Entfernen eines unbekannten Trojaners auffordert. Zunächst habe ich auf "Clean Computer" gedrückt, nachdem dann aber irgendetwas online passieren sollte, habe ich dies abgebrochen.

Aus Panik habe ich dann erstmal meine WLAN-Karte deaktiviert und im abgesicherten Modus zweimal Spybot installiert und zweimal durchlaufen lassen. Nachdem beim ersten mal diverse Sachen gefunden wurden und eine nicht behoben werden konnte (Win32 Fraud oder so, ich kann mich leider nicht genau erinnern), wurde beim zweiten Mal nichts gefunden. Darauf habe ich neu gestartet und regulär gebootet, das Fenster erschien wieder.

Da ich überhaupt keine Ahnung habe, was ich nun tun und lassen sollte, wende ich mich an euch. Da sich IE und Firefox nicht mehr starten lassen, habe ich die von euch empfohlenen ersten Schritte noch nicht durchführen können.

Auf dem betroffenen Laptop ist WinXP SP3 mit wahrscheinlich recht aktuellen Updates sowie AntiVir und ein aktueller Spybot installiert.

Ich hoffe sehr auf Hilfe! Vielen Dank im Voraus.

Beste Grüße,
Mandos
Seitenanfang Seitenende
01.10.2010, 22:25
Moderator

Beiträge: 5694
#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:

Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter. Dies kannst du auf einem anderen Rechner machen und dann via USB Stick auf den verseuchten Rechner auf den Desktop kopieren.

• Doppelklick auf die OTL.exe
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Minimal-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.



• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.
Seitenanfang Seitenende
01.10.2010, 22:53
Member

Themenstarter

Beiträge: 16
#3 Danke Swiss! Hier die Logfiles:

OTL.txt

Code

OTL logfile created on: 01.10.2010 22:38:32 - Run 1
OTL by OldTimer - Version 3.2.14.1     Folder = D:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

511,00 Mb Total Physical Memory | 122,00 Mb Available Physical Memory | 24,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 71,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 27,95 Gb Total Space | 2,76 Gb Free Space | 9,88% Space Free | Partition Type: NTFS
Drive D: | 242,18 Mb Total Space | 213,49 Mb Free Space | 88,16% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: CUSTOMER-4W9DTY
Current User Name: Nutzer
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - D:\OTL.exe (OldTimer Tools)
PRC - C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe ()
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Photodex\ProShowGold\scsiaccess.exe ()
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Java\jre1.6.0_04\bin\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\WINDOWS\system32\ibmpmsvc.exe (Lenovo)
PRC - C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
PRC - C:\Programme\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe ()
PRC - C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe (Lenovo Group Limited)
PRC - C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe ()
PRC - C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe (Analog Devices, Inc.)
PRC - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)
PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe (HP)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - D:\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINDOWS\system32\SynTPFcs.dll (Synaptics, Inc.)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (ScsiAccess) -- C:\Programme\Photodex\ProShowGold\scsiaccess.exe ()
SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (IBMPMSVC) -- C:\WINDOWS\system32\ibmpmsvc.exe (Lenovo)
SRV - (SoundMAX Agent Service (default)) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (CVPNDRVA) -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (NSCIRDA) -- C:\WINDOWS\system32\drivers\nscirda.sys (National Semiconductor Corporation)
DRV - (DNE) -- C:\WINDOWS\system32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Zone Labs, LLC)
DRV - (IBMPMDRV) -- C:\WINDOWS\system32\drivers\ibmpmdrv.sys (Lenovo.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (AR5211) -- C:\WINDOWS\system32\drivers\ar5211.sys (Atheros Communications, Inc.)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (CVirtA) -- C:\WINDOWS\system32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (Smapint) -- C:\WINDOWS\system32\drivers\SMAPINT.SYS (Microsoft Corporation)
DRV - (TDSMAPI) -- C:\WINDOWS\system32\drivers\TDSMAPI.SYS ()
DRV - (TPHKDRV) -- C:\WINDOWS\System32\drivers\TPHKDRV.sys (IBM Corporation)
DRV - (TPPWR) -- C:\WINDOWS\system32\drivers\TPPWR.SYS (IBM Corp.)
DRV - (wlluc48) -- C:\WINDOWS\system32\drivers\wlluc48.sys (Lucent Technologies)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (GT680x) -- C:\WINDOWS\system32\drivers\gt680x.sys (   )


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)

IE - HKCU\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.tagesschau.de"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.1
FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query="

FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.05.10 16:18:28 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.06.25 23:19:00 | 000,000,000 | ---D | M]

[2009.03.11 16:22:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Mozilla\Extensions
[2010.10.01 13:26:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Mozilla\Firefox\Profiles\jmv9qcl8.default\extensions
[2010.07.27 00:27:19 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Mozilla\Firefox\Profiles\jmv9qcl8.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2009.11.16 01:07:00 | 000,001,196 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Mozilla\Firefox\Profiles\jmv9qcl8.default\searchplugins\winamp-search.xml
[2010.10.01 13:26:25 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.05 11:40:45 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.05 11:40:45 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.05 11:40:45 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.05 11:40:46 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.05 11:40:46 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010.10.01 17:17:02 | 000,420,661 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1    www.007guard.com
O1 - Hosts: 127.0.0.1    007guard.com
O1 - Hosts: 127.0.0.1    008i.com
O1 - Hosts: 127.0.0.1    www.008k.com
O1 - Hosts: 127.0.0.1    008k.com
O1 - Hosts: 127.0.0.1    www.00hq.com
O1 - Hosts: 127.0.0.1    00hq.com
O1 - Hosts: 127.0.0.1    010402.com
O1 - Hosts: 127.0.0.1    www.032439.com
O1 - Hosts: 127.0.0.1    032439.com
O1 - Hosts: 127.0.0.1    www.0scan.com
O1 - Hosts: 127.0.0.1    0scan.com
O1 - Hosts: 127.0.0.1    1000gratisproben.com
O1 - Hosts: 127.0.0.1    www.1000gratisproben.com
O1 - Hosts: 127.0.0.1    1001namen.com
O1 - Hosts: 127.0.0.1    www.1001namen.com
O1 - Hosts: 127.0.0.1    100888290cs.com
O1 - Hosts: 127.0.0.1    www.100888290cs.com
O1 - Hosts: 127.0.0.1    www.100sexlinks.com
O1 - Hosts: 127.0.0.1    100sexlinks.com
O1 - Hosts: 127.0.0.1    10sek.com
O1 - Hosts: 127.0.0.1    www.10sek.com
O1 - Hosts: 127.0.0.1    www.1-2005-search.com
O1 - Hosts: 127.0.0.1    1-2005-search.com
O1 - Hosts: 14506 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BMMGAG] C:\Programme\ThinkPad\Utilities\PWRMONIT.DLL (IBM Corp.)
O4 - HKLM..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE ()
O4 - HKLM..\Run: [BMMMONWND] C:\Programme\ThinkPad\Utilities\BATINFEX.DLL ()
O4 - HKLM..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe File not found
O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe (HP)
O4 - HKLM..\Run: [PDF Converter Registry Controller] C:\Programme\ScanSoft\PDF Converter\RegistryController.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_04\bin\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [TP4EX] C:\WINDOWS\System32\TP4EX.exe (Lenovo Group Limited)
O4 - HKLM..\Run: [TPHOTKEY] C:\Programme\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe ()
O4 - HKCU..\Run: [JCFSE7V7Z1] C:\DOKUME~1\Nutzer\LOKALE~1\Temp\Jwr.exe File not found
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}\Icon3E5562ED7.ico ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: PDF in Word öffnen - C:\Programme\ScanSoft\PDF Converter\IEShellExt.dll (ScanSoft, Inc.)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\npjpi160_04.dll (Sun Microsystems, Inc.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1204811767817 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Java Plug-in 1.6.0_04)
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Java Plug-in 1.6.0_04)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Java Plug-in 1.6.0_04)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKCU Winlogon: Shell - (C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe) - C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe ()
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\tpfnf2: DllName - notifyf2.dll - C:\WINDOWS\System32\notifyf2.dll ()
O20 - Winlogon\Notify\tphotkey: DllName - tphklock.dll - C:\WINDOWS\System32\tphklock.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Nutzer\Desktop\conny\pragmatisches\desktopbilder\hgh.BMP
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Nutzer\Desktop\conny\pragmatisches\desktopbilder\hgh.BMP
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.03.06 15:29:16 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{eae54064-43b8-11de-b09a-00061bcf863f}\Shell\AutoRun\command - "" = RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe
O33 - MountPoints2\{eae54064-43b8-11de-b09a-00061bcf863f}\Shell\open\command - "" = RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.10.01 17:03:52 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2010.10.01 17:03:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2010.10.01 17:01:57 | 016,409,960 | ---- | C] (Safer Networking Limited                                    ) -- C:\Dokumente und Einstellungen\Nutzer\Desktop\spybotsd162.exe
[2010.10.01 15:43:43 | 000,192,512 | ---- | C] (Simon Tatham) -- C:\WINDOWS\Jqisoa.exe
[2010.10.01 15:15:46 | 000,000,000 | ---D | C] -- C:\Programme\OCR-TextScan 2 Word 1
[2010.10.01 14:03:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Nutzer\Desktop\kinderärzte
[2010.10.01 01:42:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Nutzer\Desktop\hoki
[2010.09.29 19:55:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Nutzer\Desktop\sortieren
[2010.09.27 20:48:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Nutzer\Desktop\kuni arbeiten
[2010.09.27 20:45:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Praktikum Sprache
[2010.09.04 12:21:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Nutzer\Desktop\rest
[2010.09.03 22:08:38 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2010.08.16 15:34:10 | 000,017,524 | ---- | C] (   ) -- C:\WINDOWS\System32\drivers\gt680x.sys
[2007.08.13 17:46:00 | 000,102,912 | ---- | C] (Albert L Faber) -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\CDRip.dll
[2007.01.18 21:09:54 | 000,623,616 | ---- | C] (Ivan Bischof ©2003 - 2005) -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\No23 Recorder.exe
[2006.12.11 19:13:14 | 000,013,872 | ---- | C] (Un4seen Developments) -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\basscd.dll
[2006.12.11 19:13:12 | 000,097,336 | ---- | C] (Un4seen Developments) -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\bass.dll
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.10.01 22:46:00 | 000,000,286 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2010.10.01 22:37:53 | 008,912,896 | -H-- | M] () -- C:\Dokumente und Einstellungen\Nutzer\NTUSER.DAT
[2010.10.01 22:36:08 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.10.01 22:36:05 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2010.10.01 22:35:57 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.10.01 22:35:55 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.10.01 22:35:47 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.01 20:29:27 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Nutzer\ntuser.ini
[2010.10.01 20:29:19 | 002,008,894 | -H-- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.10.01 20:16:27 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.10.01 18:59:35 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.01 17:17:02 | 000,420,661 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.10.01 17:04:13 | 000,000,905 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Spybot - Search & Destroy.lnk
[2010.10.01 16:54:20 | 016,409,960 | ---- | M] (Safer Networking Limited                                    ) -- C:\Dokumente und Einstellungen\Nutzer\Desktop\spybotsd162.exe
[2010.10.01 16:54:20 | 008,413,040 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\spybotsd_includes.exe
[2010.10.01 16:35:09 | 000,000,187 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\srsf.bat
[2010.10.01 16:34:24 | 000,753,664 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe
[2010.10.01 16:34:22 | 000,753,664 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\AntiSpyWareSetup.exe
[2010.10.01 15:53:52 | 001,801,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Elternbrief_KH neu1.doc
[2010.10.01 15:43:23 | 000,192,512 | ---- | M] (Simon Tatham) -- C:\WINDOWS\Jqisoa.exe
[2010.10.01 15:15:46 | 000,080,896 | ---- | M] () -- C:\WINDOWS\cadkasdeinst01.exe
[2010.10.01 10:42:45 | 000,000,059 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\GoodnightTimer.ini
[2010.09.30 17:53:26 | 001,726,976 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben ELAN Eltern.doc
[2010.09.30 17:52:30 | 000,792,074 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben ELAN Eltern.pdf
[2010.09.30 08:22:09 | 000,290,888 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.09.29 23:52:57 | 001,725,440 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Validierung.doc
[2010.09.28 20:19:49 | 000,041,209 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\.recently-used.xbel
[2010.09.24 00:06:02 | 000,084,480 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.09.23 22:45:17 | 000,078,720 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.09.21 11:27:53 | 000,078,848 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Praktikumsbericht.doc
[2010.09.20 18:06:37 | 000,022,016 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Ansätze beruflicher Rehabilitation im Vergleich.doc
[2010.09.19 17:48:09 | 000,000,017 | -H-- | M] () -- C:\WINDOWS\System32\servdat.slm
[2010.09.19 17:35:44 | 000,000,354 | ---- | M] () -- C:\WINDOWS\System32\lsprst7.tgz
[2010.09.19 17:35:44 | 000,000,340 | ---- | M] () -- C:\WINDOWS\System32\lsprst7.dll
[2010.09.19 17:35:44 | 000,000,014 | ---- | M] () -- C:\WINDOWS\System32\ssprs.tgz
[2010.09.03 21:56:03 | 000,000,010 | ---- | M] () -- C:\WINDOWS\WININIT.INI
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.10.01 17:04:13 | 000,000,905 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Spybot - Search & Destroy.lnk
[2010.10.01 17:01:59 | 008,413,040 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\spybotsd_includes.exe
[2010.10.01 16:35:09 | 000,000,187 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\srsf.bat
[2010.10.01 16:35:03 | 000,753,664 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe
[2010.10.01 16:34:07 | 000,753,664 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\AntiSpyWareSetup.exe
[2010.10.01 15:53:44 | 001,801,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Elternbrief_KH neu1.doc
[2010.10.01 15:43:42 | 000,000,286 | -H-- | C] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2010.10.01 15:15:46 | 000,080,896 | ---- | C] () -- C:\WINDOWS\cadkasdeinst01.exe
[2010.09.30 17:49:58 | 000,792,074 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben ELAN Eltern.pdf
[2010.09.30 17:48:26 | 001,726,976 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben ELAN Eltern.doc
[2010.09.29 18:05:27 | 001,725,440 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Validierung.doc
[2010.09.28 20:19:49 | 000,041,209 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\.recently-used.xbel
[2010.09.19 18:33:36 | 000,022,016 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Ansätze beruflicher Rehabilitation im Vergleich.doc
[2010.09.18 14:10:12 | 000,078,848 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Praktikumsbericht.doc
[2010.09.03 21:56:01 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2010.08.16 15:43:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\WATCH.INI
[2010.08.16 12:00:28 | 000,306,688 | ---- | C] () -- C:\WINDOWS\System32\LFFPX7.DLL
[2010.08.16 12:00:28 | 000,095,232 | ---- | C] () -- C:\WINDOWS\System32\LFKODAK.DLL
[2010.08.16 12:00:21 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\bpenhan.dll
[2010.08.07 20:48:52 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010.05.24 01:10:09 | 000,000,059 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\GoodnightTimer.ini
[2010.05.05 20:17:11 | 000,001,494 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\RecConfig.xml
[2010.03.12 17:31:27 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS78.DLL
[2009.05.20 20:54:32 | 000,000,339 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2009.04.28 00:08:47 | 000,000,110 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\burnaware.ini
[2009.03.22 23:11:34 | 000,084,480 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.03.13 15:04:26 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\sysprs7.dll
[2009.03.13 15:04:26 | 000,000,340 | ---- | C] () -- C:\WINDOWS\System32\lsprst7.dll
[2009.03.11 16:58:45 | 000,001,024 | ---- | C] () -- C:\WINDOWS\System32\clauth2.dll
[2009.03.11 16:58:45 | 000,001,024 | ---- | C] () -- C:\WINDOWS\System32\clauth1.dll
[2009.03.11 16:58:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\ssprs.dll
[2009.03.11 16:58:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\serauth2.dll
[2009.03.11 16:58:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\serauth1.dll
[2009.03.11 16:58:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\nsprs.dll
[2009.03.11 16:43:01 | 000,087,552 | ---- | C] () -- C:\WINDOWS\System32\cpwmon2k.dll
[2008.11.06 18:37:32 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest
[2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest
[2008.11.06 18:33:02 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2008.08.29 14:58:26 | 000,197,408 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll
[2008.08.29 14:58:16 | 000,193,312 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll
[2008.03.06 15:59:58 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll
[2008.03.06 15:59:45 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\FPCALL.dll
[2008.03.06 15:58:25 | 000,009,343 | ---- | C] () -- C:\WINDOWS\System32\drivers\TDSMAPI.SYS
[2008.03.06 15:15:27 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008.03.06 14:28:30 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\tphklock.dll
[2008.03.06 14:28:29 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\notifyf2.dll
[2008.03.06 14:27:01 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\e100bmsg.dll
[2007.08.13 17:46:00 | 000,155,136 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\lame_enc.dll
[2006.10.26 01:06:48 | 000,064,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\vorbisenc.dll
[2006.10.26 01:06:48 | 000,019,456 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\vorbisfile.dll
[2006.10.26 01:06:46 | 000,143,872 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\vorbis.dll
[2006.10.26 01:06:36 | 000,015,872 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\ogg.dll
[2005.08.23 22:34:06 | 000,029,184 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\no23xwrapper.dll
[2002.10.16 00:54:04 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2002.03.17 02:00:00 | 000,007,420 | ---- | C] () -- C:\WINDOWS\UA000011.DLL
[1999.01.22 20:46:56 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL

[color=#E56717]========== LOP Check ==========[/color]

[2010.03.12 17:31:06 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2010.08.07 20:56:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SBT
[2010.09.03 21:49:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2009.11.05 18:31:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\foobar2000
[2010.09.28 20:19:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\gtk-2.0
[2010.05.04 22:48:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Miranda
[2009.05.12 16:57:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Netscape
[2009.05.12 16:56:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Photodex
[2008.03.06 16:00:34 | 000,000,300 | ---- | M] () -- C:\WINDOWS\Tasks\BMMTask.job
[2010.10.01 22:46:00 | 000,000,286 | -H-- | M] () -- C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job

[color=#E56717]========== Purity Check ==========[/color]


< End of report >


Extras.txt

Code

OTL Extras logfile created on: 01.10.2010 22:38:32 - Run 1
OTL by OldTimer - Version 3.2.14.1     Folder = D:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

511,00 Mb Total Physical Memory | 122,00 Mb Available Physical Memory | 24,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 71,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 27,95 Gb Total Space | 2,76 Gb Free Space | 9,88% Space Free | Partition Type: NTFS
Drive D: | 242,18 Mb Total Space | 213,49 Mb Free Space | 88,16% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: CUSTOMER-4W9DTY
Current User Name: Nutzer
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[color=#E56717]========== System Restore Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

[color=#E56717]========== Firewall Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" = C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:*:Enabled:Veoh Web Player  -- File not found
"C:\Programme\Trillian\trillian.exe" = C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian -- (Cerulean Studios)
"C:\Programme\Miranda IM\miranda32.exe" = C:\Programme\Miranda IM\miranda32.exe:*:Enabled:Miranda IM -- ( )


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 SR-1 Premium
"{00040407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 SR-1 Disc 2
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{0F7C2E47-089E-4d23-B9F7-39BE00100776}" = Toolbox
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{167F938F-5AD3-40e2-B05D-2B7C6F0FDE48}" = HP Deskjet D1500 Printer Driver 10.0 Rel .3
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{22B0E143-2B0B-435B-9F56-136A3D16065F}" = No23 Recorder
"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0
"{305468A6-DE2D-43ba-A168-2F45A97A89DA}" = DJ_SF_03_D1500_Software_Min
"{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java(TM) 6 Update 4
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4286E640-B5FB-11DF-AC4B-005056C00008}" = Google Earth
"{43721D86-16D1-46BF-8353-37CD82333BC3}" = OpenOffice.org 2.4
"{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}" = Cisco Systems VPN Client 5.0.04.0300
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{760B29F2-8663-419B-A025-5A55066E130B}" = Ulead Photo Express 6

"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{87001C85-FF5F-42F9-B78A-114A7ED373BE}" = ScanSoft PDF Converter
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A90000000001}" = Adobe Reader 9 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B136F351-BF1E-4948-9557-FA6524302ACA}" = SPSS 14.0 für Windows
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{EA664480-3844-11D5-8C25-444553540000}" = Funktion "TrackPoint-Eingabehilfen"
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{FC081D4D-DF1B-4CF1-B530-027E4118D846}" = ThinkPad-Konfiguration
"A4 USB Flachbett Scanner v1.0" = A4 USB Flachbett Scanner v1.0
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Agere Systems Soft Modem" = Agere Systems AC'97 Modem
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"BurnAware Free_is1" = BurnAware Free 2.3.4
"CANONBJ_Deinstall_CNMCP78.DLL" = Canon iP4200
"CutePDF Writer Installation" = CutePDF Writer 2.7
"dBpoweramp Music Converter" = dBpoweramp Music Converter
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"foobar2000" = foobar2000 v0.9.6.4
"Free CD to MP3 Converter" = Free CD to MP3 Converter
"Goodnight Timer_is1" = Goodnight Timer 1.1
"Google Updater" = Google Updater
"hp deskjet 970c series" = hp deskjet 970c series (Remove only)
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Miranda IM" = Miranda IM 0.8.22
"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Photodex Presenter" = Photodex Presenter
"Picasa 3" = Picasa 3
"Power Features" = IBM ThinkPad Battery MaxiMiser and Power Management Features
"Power Management Driver" = ThinkPad Power Management Driver
"PROSet" = Intel(R) PRO Network Adapters and Drivers
"ProShow Gold" = ProShow Gold
"SynTPDeinstKey" = ThinkPad UltraNav Driver
"ThinkPad FullScreen Magnifier" = ThinkPad FullScreen Magnifier
"Trillian" = Trillian
"VLC media player" = VLC media player 0.9.8a
"VobSub" = VobSub v2.23 (Remove Only)
"Wecker 2.2" = Wecker 2.2 2.2
"Winamp" = Winamp
"Winamp Toolbar" = Winamp Toolbar
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.5
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"xp-AntiSpy" = xp-AntiSpy 3.95

[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Move Media Player" = Move Media Player

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ System Events ]
Error - 01.10.2010 11:00:43 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31

Error - 01.10.2010 11:00:43 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  avgio  avipbb  Fips  intelppm  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  Smapint  ssmdrv  Tcpip  TDSMAPI
TPHKDRV
TPPWR

Error - 01.10.2010 12:32:09 | Computer Name = CUSTOMER-4W9DTY | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 01.10.2010 12:34:29 | Computer Name = CUSTOMER-4W9DTY | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 01.10.2010 12:35:16 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31

Error - 01.10.2010 12:35:16 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31

Error - 01.10.2010 12:35:16 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "Umgebung
für die AFD-Netzwerkunterstützung" abhängig, der aufgrund folgenden Fehlers nicht
gestartet wurde:   %%31

Error - 01.10.2010 12:35:16 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31

Error - 01.10.2010 12:35:16 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  avgio  avipbb  Fips  intelppm  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  Smapint  ssmdrv  Tcpip  TDSMAPI
TPHKDRV
TPPWR

Error - 01.10.2010 12:58:30 | Computer Name = CUSTOMER-4W9DTY | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}


< End of report >
Seitenanfang Seitenende
02.10.2010, 22:13
Moderator

Beiträge: 5694
#4 Schritt 1

Teatimer abstellen

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

Schritt 2

XPAntispy

Bei der Durchsicht der Logfiles habe ich gesehen, dass Du XPAntispy installiert hast. Das erhöht einerseits die Sicherheit, kann uns aber andererseits bei der Bereinigung hinderlich sein. Alle mit XPAntispy gemachten Änderungen müssen rückgängig gemacht werden, indem Du unter "Profile" das Systemprofil auf Systemstandard einstellst. Nach Beendigung der Bereinigung kannst Du in XPAntispy wieder Dein gewohntes Profil einstellen.

Schritt 3

Desinfizierung/Absicherung externer Medien

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:
• Trenne den Rechner physikalisch vom Netz.
• Deaktiviere den Hintergrundwächter deines AVP.
• Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
• Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.• Wenn der Scan zuende ist, kannst du das Programm schließen.
• Starte Deinen Rechner neu.Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Schritt 4

Fixen mit OTL

• Starte die OTL.exe.
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

Code

:OTL
PRC - C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe ()
O4 - HKLM..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe File not found
O4 - HKCU..\Run: [JCFSE7V7Z1] C:\DOKUME~1\Nutzer\LOKALE~1\Temp\Jwr.exe File not found
O20 - HKCU Winlogon: Shell - (C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe) - C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe ()
O33 - MountPoints2\{eae54064-43b8-11de-b09a-00061bcf863f}\Shell\AutoRun\command - "" = RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe
O33 - MountPoints2\{eae54064-43b8-11de-b09a-00061bcf863f}\Shell\open\command - "" = RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe
[2010.10.01 16:35:09 | 000,000,187 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\srsf.bat
[2010.10.01 16:34:24 | 000,753,664 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe
[2010.10.01 16:34:22 | 000,753,664 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\AntiSpyWareSetup.exe
[2010.10.01 15:53:52 | 001,801,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Elternbrief_KH neu1.doc
[2010.10.01 15:43:23 | 000,192,512 | ---- | M] (Simon Tatham) -- C:\WINDOWS\Jqisoa.exe
[2010.10.01 15:15:46 | 000,080,896 | ---- | M] () -- C:\WINDOWS\cadkasdeinst01.exe
[2010.10.01 16:35:09 | 000,000,187 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\srsf.bat
[2010.10.01 16:35:03 | 000,753,664 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe
[2010.10.01 16:34:07 | 000,753,664 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\AntiSpyWareSetup.exe
[2010.10.01 15:53:44 | 001,801,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Elternbrief_KH neu1.doc
[2010.10.01 15:43:42 | 000,000,286 | -H-- | C] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2010.10.01 15:15:46 | 000,080,896 | ---- | C] () -- C:\WINDOWS\cadkasdeinst01.exe
:Files
C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe
:Commands
[purity]
[emptytemp]
• und füge es hier ein:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

Schritt 5

Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf)

Lade Malwarebytes Anti-Malware (ca. 2 MB) von diesem Downloadspiegel herunter:

Malwarebytes


* Anwendbar auf Windows 2000, XP, Vista und Windows 7.
* Installiere das Programm in den vorgegebenen Pfad.
* Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
* Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
* Aktiviere "Komplett Scan durchführen" => Scan.
* Wähle alle verfügbaren Laufwerke aus und starte den Scan.
* Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
* Bei Funden in C:\System Volume Information den Haken entfernen.
Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
Er könnte jedoch trotz Malware noch gebraucht werden.
* Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen".
* Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
* Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
* Berichte, wie der Rechner nun läuft.

Schritt 6

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.
Seitenanfang Seitenende
03.10.2010, 16:09
Member

Themenstarter

Beiträge: 16
#5

Code

All processes killed
========== OTL ==========
No active process named hotfix.exe was found!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Gtwatch deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\JCFSE7V7Z1 deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe deleted successfully.
C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eae54064-43b8-11de-b09a-00061bcf863f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{eae54064-43b8-11de-b09a-00061bcf863f}\ not found.
File RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eae54064-43b8-11de-b09a-00061bcf863f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{eae54064-43b8-11de-b09a-00061bcf863f}\ not found.
File RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe not found.
C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\srsf.bat moved successfully.
File C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe not found.
C:\Dokumente und Einstellungen\Nutzer\Desktop\AntiSpyWareSetup.exe moved successfully.
C:\Dokumente und Einstellungen\Nutzer\Desktop\Elternbrief_KH neu1.doc moved successfully.
C:\WINDOWS\Jqisoa.exe moved successfully.
C:\WINDOWS\cadkasdeinst01.exe moved successfully.
File C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\srsf.bat not found.
File C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe not found.
File C:\Dokumente und Einstellungen\Nutzer\Desktop\AntiSpyWareSetup.exe not found.
File C:\Dokumente und Einstellungen\Nutzer\Desktop\Elternbrief_KH neu1.doc not found.
C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job moved successfully.
File C:\WINDOWS\cadkasdeinst01.exe not found.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes

User: Nutzer
->Temp folder emptied: 19190312 bytes
->Temporary Internet Files folder emptied: 20667330 bytes
->Java cache emptied: 7011550 bytes
->FireFox cache emptied: 49032244 bytes
->Flash cache emptied: 63699 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1139177 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1946 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 93,00 mb


OTL by OldTimer - Version 3.2.14.1 log created on 10032010_135240

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Code

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

03.10.2010 15:09:05
mbam-log-2010-10-03 (15-09-05).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 156192
Laufzeit: 1 Stunde(n), 6 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Code

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-10-03 15:12:42
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\Nutzer\LOKALE~1\Temp\kgqdrpog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                 fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  mouclass.sys (Mausklassentreiber/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----


Code

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-10-03 16:02:22
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\Nutzer\LOKALE~1\Temp\kgqdrpog.sys


---- System - GMER 1.0.15 ----

SSDT            F8BB7A56                                                                                                                        ZwCreateKey
SSDT            F8BB7A4C                                                                                                                        ZwCreateThread
SSDT            F8BB7A5B                                                                                                                        ZwDeleteKey
SSDT            F8BB7A65                                                                                                                        ZwDeleteValueKey
SSDT            F8BB7A6A                                                                                                                        ZwLoadKey
SSDT            F8BB7A38                                                                                                                        ZwOpenProcess
SSDT            F8BB7A3D                                                                                                                        ZwOpenThread
SSDT            F8BB7A74                                                                                                                        ZwReplaceKey
SSDT            F8BB7A6F                                                                                                                        ZwRestoreKey
SSDT            F8BB7A60                                                                                                                        ZwSetValueKey
SSDT            F8BB7A47                                                                                                                        ZwTerminateProcess

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[1704] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]            [003D2BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[1704] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter]  [003D2CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[1704] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess]          [003D2CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                         SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                         mouclass.sys (Mausklassentreiber/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                         SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                        fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----


Schon nachdem das OTL-Script ausgeführt wurde, ist das oben genannte Fenster nicht wieder aufgetaucht. Auch die Browser lassen sich wieder starten, ins Internet bin ich mit dem betroffenen Laptop jedoch noch nicht wieder gegangen.

Wie ist jetzt die Diagnose?

1000 DANK !!!
Seitenanfang Seitenende
03.10.2010, 21:26
Moderator

Beiträge: 5694
#6

Zitat

Wie ist jetzt die Diagnose?
Ich würde sagen schon einmal sehr gut ;)

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

BleepingComputer
ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme.
Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.
Seitenanfang Seitenende
04.10.2010, 01:42
Member

Themenstarter

Beiträge: 16
#7

Code

ComboFix 10-10-03.01 - Nutzer 04.10.2010   1:23.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.217 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Nutzer\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\lame_enc.dll
c:\dokumente und einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\no23xwrapper.dll
c:\dokumente und einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\ogg.dll
c:\dokumente und einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\vorbis.dll
c:\dokumente und einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\vorbisenc.dll
c:\dokumente und einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\vorbisfile.dll
c:\windows\system32\lsprst7.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


(((((((((((((((((((((((   Dateien erstellt von 2010-09-03 bis 2010-10-03  ))))))))))))))))))))))))))))))
.

2010-10-03 11:57 . 2010-10-03 11:57    --------    d-----w-    c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\Malwarebytes
2010-10-03 11:57 . 2010-04-29 13:39    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-03 11:57 . 2010-10-03 11:57    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-03 11:57 . 2010-10-03 11:57    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-10-03 11:57 . 2010-04-29 13:39    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-10-03 11:52 . 2010-10-03 11:52    --------    d-----w-    C:\_OTL
2010-10-03 11:38 . 2010-10-03 11:38    --------    d-----w-    c:\programme\Spybot - Search & Destroy
2010-10-01 15:03 . 2010-10-03 11:45    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-01 13:15 . 2010-10-01 14:01    --------    d-----w-    c:\programme\OCR-TextScan 2 Word 1

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-03 11:22 . 2009-03-23 18:08    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-10-01 14:58 . 2009-03-22 23:14    --------    d-----w-    c:\programme\Microsoft Silverlight
2010-09-29 17:11 . 2009-03-13 12:46    --------    d-----w-    c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\OpenOffice.org2
2010-09-29 17:11 . 2009-03-13 12:47    1    ----a-w-    c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-09-28 18:19 . 2009-03-16 20:27    --------    d-----w-    c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\gtk-2.0
2010-09-28 05:19 . 2009-03-23 18:08    --------    d-----w-    c:\programme\Google
2010-09-23 20:45 . 2008-03-06 13:51    78720    ----a-w-    c:\dokumente und einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-19 15:35 . 2009-03-11 14:54    --------    d-----w-    c:\programme\SPSS
2010-09-03 19:49 . 2010-08-18 17:36    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems
2010-08-18 17:37 . 2008-03-06 13:51    --------    d--h--w-    c:\programme\InstallShield Installation Information
2010-08-16 13:34 . 2010-08-16 13:34    --------    d-----w-    c:\programme\A4 USB Flachbett Scanner
2010-08-14 13:21 . 2010-08-14 13:19    --------    d-----w-    c:\programme\hp deskjet 970c series
2010-08-14 13:19 . 2010-08-14 13:19    --------    d-----w-    c:\programme\Hewlett-Packard
2010-08-09 17:48 . 2009-03-12 08:02    --------    d-----w-    c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\Skype
2010-08-07 18:56 . 2010-08-07 18:56    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\SBT
2010-08-07 18:56 . 2010-08-07 18:56    --------    d-----w-    c:\programme\Snapshot Viewer
2010-08-07 18:48 . 2010-08-07 18:48    4990    ----a-w-    c:\windows\help\hhcolreg.dat
2010-08-07 18:42 . 2010-08-07 18:42    --------    d-----w-    c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\Microsoft Web Folders
2010-08-07 14:09 . 2010-08-07 14:09    --------    d-----w-    c:\programme\ScanSoft
2010-07-07 15:55 . 2010-06-30 08:06    664    ----a-w-    c:\windows\system32\d3d9caps.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\programme\Winamp Toolbar\winamptb.dll" [2009-05-06 1262888]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-23 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2007-02-06 344064]
"TP4EX"="tp4ex.exe" [2005-10-17 65536]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2007-08-10 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-08-10 512000]
"BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2005-04-20 110592]
"BMMLREF"="c:\programme\ThinkPad\Utilities\BMMLREF.EXE" [2005-04-20 20480]
"BMMMONWND"="c:\progra~1\ThinkPad\UTILIT~1\BatInfEx.dll" [2005-04-20 396288]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-10-02 94208]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-27 88363]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 144784]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"PDF Converter Registry Controller"="c:\programme\ScanSoft\PDF Converter\RegistryController.exe" [2003-09-09 102400]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-11-29 196608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
VPN Client.lnk - c:\windows\Installer\{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}\Icon3E5562ED7.ico [2010-3-26 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 22:45    28672    ----a-w-    c:\windows\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 19:16    24576    ----a-w-    c:\windows\system32\tphklock.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [06.03.2008 16:00 16384]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 19:05 108289]
S2 gupdate1c9abe281d3fe80;Google Update Service (gupdate1c9abe281d3fe80);c:\programme\Google\Update\GoogleUpdate.exe [23.03.2009 20:09 133104]
.
Inhalt des "geplante Tasks" Ordners

2008-03-06 c:\windows\Tasks\BMMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2008-03-06 00:38]

2010-10-03 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-23 18:08]

2010-10-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-23 18:09]

2010-10-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-23 18:09]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: &Winamp Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: PDF in Word öffnen - c:\programme\ScanSoft\PDF Converter\IEShellExt.dll /500
FF - ProfilePath - c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\Mozilla\Firefox\Profiles\jmv9qcl8.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.tagesschau.de
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - plugin: c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\Move Networks\plugins\071803000001\npqmp071803000001.dll
FF - plugin: c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\Mozilla\plugins\npPxPlay.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
.
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(800)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\tphklock.dll

- - - - - - - > 'explorer.exe'(2744)
c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\ibmpmsvc.exe
c:\windows\System32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\windows\system32\RunDll32.exe
c:\windows\AGRSMMSG.exe
c:\programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
c:\programme\Photodex\ProShowGold\ScsiAccess.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wscntfy.exe
c:\programme\Java\jre1.6.0_04\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-04  01:39:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-03 23:39

Vor Suchlauf: 2.866.188.288 Bytes frei
Nach Suchlauf: 2.759.876.608 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 6550CCFF0819ADFBC6B92BD621F068F5
Seitenanfang Seitenende
04.10.2010, 19:32
Moderator

Beiträge: 5694
#8 Schritt 1

Combofix mit Skript laufen lassen

Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
Danach wieder anstellen nicht vergessen!

Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.


Anwendung

• Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:

Code

File::
C:\WINDOWS\System32\servdat.slm
C:\WINDOWS\System32\lsprst7.tgz
C:\WINDOWS\System32\lsprst7.dll
C:\WINDOWS\System32\ssprs.tgz

• Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist.
.

.
• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


Schritt 2

Erneuter Systemscan mit OTL

• Doppelklick auf die OTL.exe
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Minimal-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.



• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.
Seitenanfang Seitenende
04.10.2010, 23:20
Member

Themenstarter

Beiträge: 16
#9

Code

ComboFix 10-10-03.03 - Nutzer 04.10.2010  23:02:19.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.349 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Nutzer\Desktop\Combo-Fix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Nutzer\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\System32\lsprst7.dll"
"c:\windows\System32\lsprst7.tgz"
"c:\windows\System32\servdat.slm"
"c:\windows\System32\ssprs.tgz"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\System32\lsprst7.tgz
c:\windows\System32\servdat.slm
c:\windows\System32\ssprs.tgz

.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-04 bis 2010-10-04  ))))))))))))))))))))))))))))))
.

2010-10-03 11:57 . 2010-10-03 11:57    --------    d-----w-    c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\Malwarebytes
2010-10-03 11:57 . 2010-04-29 13:39    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-03 11:57 . 2010-10-03 11:57    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-03 11:57 . 2010-10-03 11:57    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-10-03 11:57 . 2010-04-29 13:39    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-10-03 11:52 . 2010-10-03 11:52    --------    d-----w-    C:\_OTL
2010-10-03 11:38 . 2010-10-03 11:38    --------    d-----w-    c:\programme\Spybot - Search & Destroy
2010-10-01 15:03 . 2010-10-03 11:45    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-01 13:15 . 2010-10-01 14:01    --------    d-----w-    c:\programme\OCR-TextScan 2 Word 1

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-04 12:23 . 2009-03-23 18:08    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-10-01 14:58 . 2009-03-22 23:14    --------    d-----w-    c:\programme\Microsoft Silverlight
2010-09-29 17:11 . 2009-03-13 12:46    --------    d-----w-    c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\OpenOffice.org2
2010-09-29 17:11 . 2009-03-13 12:47    1    ----a-w-    c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-09-28 18:19 . 2009-03-16 20:27    --------    d-----w-    c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\gtk-2.0
2010-09-28 05:19 . 2009-03-23 18:08    --------    d-----w-    c:\programme\Google
2010-09-23 20:45 . 2008-03-06 13:51    78720    ----a-w-    c:\dokumente und einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-19 15:35 . 2009-03-11 14:54    --------    d-----w-    c:\programme\SPSS
2010-09-03 19:49 . 2010-08-18 17:36    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems
2010-08-18 17:37 . 2008-03-06 13:51    --------    d--h--w-    c:\programme\InstallShield Installation Information
2010-08-16 13:34 . 2010-08-16 13:34    --------    d-----w-    c:\programme\A4 USB Flachbett Scanner
2010-08-14 13:21 . 2010-08-14 13:19    --------    d-----w-    c:\programme\hp deskjet 970c series
2010-08-14 13:19 . 2010-08-14 13:19    --------    d-----w-    c:\programme\Hewlett-Packard
2010-08-09 17:48 . 2009-03-12 08:02    --------    d-----w-    c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\Skype
2010-08-07 18:56 . 2010-08-07 18:56    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\SBT
2010-08-07 18:56 . 2010-08-07 18:56    --------    d-----w-    c:\programme\Snapshot Viewer
2010-08-07 18:48 . 2010-08-07 18:48    4990    ----a-w-    c:\windows\help\hhcolreg.dat
2010-08-07 18:42 . 2010-08-07 18:42    --------    d-----w-    c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\Microsoft Web Folders
2010-08-07 14:09 . 2010-08-07 14:09    --------    d-----w-    c:\programme\ScanSoft
2010-07-07 15:55 . 2010-06-30 08:06    664    ----a-w-    c:\windows\system32\d3d9caps.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\programme\Winamp Toolbar\winamptb.dll" [2009-05-06 1262888]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-23 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2007-02-06 344064]
"TP4EX"="tp4ex.exe" [2005-10-17 65536]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2007-08-10 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-08-10 512000]
"BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2005-04-20 110592]
"BMMLREF"="c:\programme\ThinkPad\Utilities\BMMLREF.EXE" [2005-04-20 20480]
"BMMMONWND"="c:\progra~1\ThinkPad\UTILIT~1\BatInfEx.dll" [2005-04-20 396288]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-10-02 94208]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-27 88363]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 144784]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"PDF Converter Registry Controller"="c:\programme\ScanSoft\PDF Converter\RegistryController.exe" [2003-09-09 102400]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-11-29 196608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
VPN Client.lnk - c:\windows\Installer\{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}\Icon3E5562ED7.ico [2010-3-26 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 22:45    28672    ----a-w-    c:\windows\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 19:16    24576    ----a-w-    c:\windows\system32\tphklock.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [06.03.2008 16:00 16384]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 19:05 108289]
S2 gupdate1c9abe281d3fe80;Google Update Service (gupdate1c9abe281d3fe80);c:\programme\Google\Update\GoogleUpdate.exe [23.03.2009 20:09 133104]
.
Inhalt des "geplante Tasks" Ordners

2008-03-06 c:\windows\Tasks\BMMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2008-03-06 00:38]

2010-10-04 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-23 18:08]

2010-10-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-23 18:09]

2010-10-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-23 18:09]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: &Winamp Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: PDF in Word öffnen - c:\programme\ScanSoft\PDF Converter\IEShellExt.dll /500
FF - ProfilePath - c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\Mozilla\Firefox\Profiles\jmv9qcl8.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.tagesschau.de
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - plugin: c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\Move Networks\plugins\071803000001\npqmp071803000001.dll
FF - plugin: c:\dokumente und einstellungen\Nutzer\Anwendungsdaten\Mozilla\plugins\npPxPlay.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
.
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(796)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\tphklock.dll
c:\windows\system32\notifyf2.dll
.
Zeit der Fertigstellung: 2010-10-04  23:13:05
ComboFix-quarantined-files.txt  2010-10-04 21:13
ComboFix2.txt  2010-10-03 23:39

Vor Suchlauf: 2.693.955.584 Bytes frei
Nach Suchlauf: 2.682.478.592 Bytes frei

- - End Of File - - 6A46AD2BDA8F4DC7A9143899E1CAACAC


Code

OTL logfile created on: 04.10.2010 23:16:24 - Run 2
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Dokumente und Einstellungen\Nutzer\Desktop\virr
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

511,00 Mb Total Physical Memory | 208,00 Mb Available Physical Memory | 41,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 73,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 27,95 Gb Total Space | 2,52 Gb Free Space | 9,01% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: CUSTOMER-4W9DTY
Current User Name: Nutzer
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Dokumente und Einstellungen\Nutzer\Desktop\virr\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Adobe\Updater6\Adobe_Updater.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Java\jre1.6.0_04\bin\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Java\jre1.6.0_04\bin\jucheck.exe (Sun Microsystems, Inc.)
PRC - C:\WINDOWS\system32\ibmpmsvc.exe (Lenovo)
PRC - C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
PRC - C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe (Lenovo Group Limited)
PRC - C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe (Analog Devices, Inc.)
PRC - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)
PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe (HP)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Dokumente und Einstellungen\Nutzer\Desktop\virr\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINDOWS\system32\SynTPFcs.dll (Synaptics, Inc.)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (ScsiAccess) -- C:\Programme\Photodex\ProShowGold\scsiaccess.exe ()
SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (IBMPMSVC) -- C:\WINDOWS\system32\ibmpmsvc.exe (Lenovo)
SRV - (SoundMAX Agent Service (default)) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (catchme) -- C:\DOKUME~1\Nutzer\LOKALE~1\Temp\catchme.sys File not found
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (CVPNDRVA) -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (NSCIRDA) -- C:\WINDOWS\system32\drivers\nscirda.sys (National Semiconductor Corporation)
DRV - (DNE) -- C:\WINDOWS\system32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Zone Labs, LLC)
DRV - (IBMPMDRV) -- C:\WINDOWS\system32\drivers\ibmpmdrv.sys (Lenovo.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (AR5211) -- C:\WINDOWS\system32\drivers\ar5211.sys (Atheros Communications, Inc.)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (CVirtA) -- C:\WINDOWS\system32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (Smapint) -- C:\WINDOWS\system32\drivers\SMAPINT.SYS (Microsoft Corporation)
DRV - (TDSMAPI) -- C:\WINDOWS\system32\drivers\TDSMAPI.SYS ()
DRV - (TPHKDRV) -- C:\WINDOWS\System32\drivers\TPHKDRV.sys (IBM Corporation)
DRV - (TPPWR) -- C:\WINDOWS\system32\drivers\TPPWR.SYS (IBM Corp.)
DRV - (wlluc48) -- C:\WINDOWS\system32\drivers\wlluc48.sys (Lucent Technologies)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (GT680x) -- C:\WINDOWS\system32\drivers\gt680x.sys (   )


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)

IE - HKCU\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.tagesschau.de"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.1
FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query="

FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.05.10 16:18:28 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.06.25 23:19:00 | 000,000,000 | ---D | M]

[2009.03.11 16:22:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Mozilla\Extensions
[2010.10.04 10:32:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Mozilla\Firefox\Profiles\jmv9qcl8.default\extensions
[2010.07.27 00:27:19 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Mozilla\Firefox\Profiles\jmv9qcl8.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2009.11.16 01:07:00 | 000,001,196 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Mozilla\Firefox\Profiles\jmv9qcl8.default\searchplugins\winamp-search.xml
[2010.10.04 10:32:50 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.05 11:40:45 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.05 11:40:45 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.05 11:40:45 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.05 11:40:46 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.05 11:40:46 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010.10.04 23:09:33 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BMMGAG] C:\Programme\ThinkPad\Utilities\PWRMONIT.DLL (IBM Corp.)
O4 - HKLM..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE ()
O4 - HKLM..\Run: [BMMMONWND] C:\Programme\ThinkPad\Utilities\BATINFEX.DLL ()
O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe (HP)
O4 - HKLM..\Run: [PDF Converter Registry Controller] C:\Programme\ScanSoft\PDF Converter\RegistryController.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_04\bin\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [TP4EX] C:\WINDOWS\System32\TP4EX.exe (Lenovo Group Limited)
O4 - HKLM..\Run: [TPHOTKEY] C:\Programme\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe ()
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}\Icon3E5562ED7.ico ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: PDF in Word öffnen - C:\Programme\ScanSoft\PDF Converter\IEShellExt.dll (ScanSoft, Inc.)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\npjpi160_04.dll (Sun Microsystems, Inc.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1204811767817 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Java Plug-in 1.6.0_04)
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Java Plug-in 1.6.0_04)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Java Plug-in 1.6.0_04)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\tpfnf2: DllName - notifyf2.dll - C:\WINDOWS\System32\notifyf2.dll ()
O20 - Winlogon\Notify\tphotkey: DllName - tphklock.dll - C:\WINDOWS\System32\tphklock.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Nutzer\Desktop\conny\pragmatisches\desktopbilder\hgh.BMP
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Nutzer\Desktop\conny\pragmatisches\desktopbilder\hgh.BMP
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.03.06 15:29:16 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.10.04 23:13:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2010.10.04 22:58:51 | 000,000,000 | ---D | C] -- C:\Combo-Fix
[2010.10.04 11:13:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben fertig
[2010.10.04 11:12:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Nutzer\Desktop\virr
[2010.10.04 01:22:40 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010.10.04 01:18:05 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.10.04 01:18:05 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.10.04 01:18:05 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.10.04 01:18:05 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.10.04 01:17:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.10.04 01:17:02 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.10.03 13:57:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Malwarebytes
[2010.10.03 13:57:41 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.10.03 13:57:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.10.03 13:57:35 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.10.03 13:57:35 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.10.03 13:52:40 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.10.03 13:38:26 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2010.10.01 17:03:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2010.10.01 15:15:46 | 000,000,000 | ---D | C] -- C:\Programme\OCR-TextScan 2 Word 1
[2010.10.01 14:03:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Nutzer\Desktop\kinderärzte
[2010.10.01 01:42:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Nutzer\Desktop\hoki
[2010.09.29 19:55:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Nutzer\Desktop\sortieren
[2010.09.27 20:48:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Nutzer\Desktop\kuni arbeiten
[2010.09.27 20:45:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Praktikum Sprache
[2010.08.16 15:34:10 | 000,017,524 | ---- | C] (   ) -- C:\WINDOWS\System32\drivers\gt680x.sys
[2007.08.13 17:46:00 | 000,102,912 | ---- | C] (Albert L Faber) -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\CDRip.dll
[2007.01.18 21:09:54 | 000,623,616 | ---- | C] (Ivan Bischof ©2003 - 2005) -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\No23 Recorder.exe
[2006.12.11 19:13:14 | 000,013,872 | ---- | C] (Un4seen Developments) -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\basscd.dll
[2006.12.11 19:13:12 | 000,097,336 | ---- | C] (Un4seen Developments) -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\bass.dll

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.10.04 23:16:03 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.10.04 23:13:08 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.10.04 23:09:55 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.10.04 23:09:33 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.10.04 22:58:14 | 003,860,477 | R--- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Combo-Fix.exe
[2010.10.04 15:45:09 | 000,082,432 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Praktikumsbericht.doc
[2010.10.04 15:00:01 | 000,789,908 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben ELAN Eltern.pdf
[2010.10.04 14:58:40 | 000,787,771 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Validierung.pdf
[2010.10.04 14:58:12 | 001,725,952 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Validierung.doc
[2010.10.04 14:41:10 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.10.04 12:41:31 | 001,728,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Ärzte einsprachig.doc
[2010.10.04 11:54:26 | 001,729,024 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Kita Hildesheim.doc
[2010.10.04 11:10:03 | 001,729,024 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Kita einsprachig.doc
[2010.10.04 11:07:22 | 000,031,232 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Ärzte Hildesheim.doc
[2010.10.04 10:52:12 | 001,726,976 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Form.doc
[2010.10.04 10:44:32 | 001,726,464 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben ELAN Eltern.doc
[2010.10.04 10:20:32 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2010.10.04 10:20:29 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.10.04 10:20:21 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.04 01:43:44 | 008,912,896 | -H-- | M] () -- C:\Dokumente und Einstellungen\Nutzer\NTUSER.DAT
[2010.10.04 01:43:44 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Nutzer\ntuser.ini
[2010.10.04 01:31:21 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.04 01:22:52 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2010.10.01 23:01:07 | 002,284,308 | -H-- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.10.01 10:42:45 | 000,000,059 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\GoodnightTimer.ini
[2010.09.30 08:22:09 | 000,290,888 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.09.28 20:19:49 | 000,041,209 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\.recently-used.xbel
[2010.09.24 00:06:02 | 000,084,480 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.09.23 22:45:17 | 000,078,720 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.09.20 18:06:37 | 000,022,016 | ---- | M] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Ansätze beruflicher Rehabilitation im Vergleich.doc

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.10.04 14:59:54 | 000,789,908 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben ELAN Eltern.pdf
[2010.10.04 14:58:33 | 000,787,771 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Validierung.pdf
[2010.10.04 11:11:51 | 001,729,024 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Kita Hildesheim.doc
[2010.10.04 11:10:02 | 001,729,024 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Kita einsprachig.doc
[2010.10.04 11:07:21 | 000,031,232 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Ärzte Hildesheim.doc
[2010.10.04 11:04:12 | 001,728,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Ärzte einsprachig.doc
[2010.10.04 10:53:55 | 001,726,976 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Form.doc
[2010.10.04 01:22:52 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2010.10.04 01:22:46 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2010.10.04 01:18:05 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.10.04 01:18:05 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.10.04 01:18:05 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.10.04 01:18:05 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.10.04 01:18:05 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.10.04 01:15:49 | 003,860,477 | R--- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Combo-Fix.exe
[2010.09.30 17:48:26 | 001,726,464 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben ELAN Eltern.doc
[2010.09.29 18:05:27 | 001,725,952 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Anschreiben Validierung.doc
[2010.09.28 20:19:49 | 000,041,209 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\.recently-used.xbel
[2010.09.19 18:33:36 | 000,022,016 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Ansätze beruflicher Rehabilitation im Vergleich.doc
[2010.09.18 14:10:12 | 000,082,432 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Desktop\Praktikumsbericht.doc
[2010.09.03 21:56:01 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2010.08.16 15:43:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\WATCH.INI
[2010.08.16 12:00:28 | 000,306,688 | ---- | C] () -- C:\WINDOWS\System32\LFFPX7.DLL
[2010.08.16 12:00:28 | 000,095,232 | ---- | C] () -- C:\WINDOWS\System32\LFKODAK.DLL
[2010.08.16 12:00:21 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\bpenhan.dll
[2010.08.07 20:48:52 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010.05.24 01:10:09 | 000,000,059 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\GoodnightTimer.ini
[2010.05.05 20:17:11 | 000,001,494 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\RecConfig.xml
[2010.03.12 17:31:27 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS78.DLL
[2009.05.20 20:54:32 | 000,000,339 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2009.04.28 00:08:47 | 000,000,110 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\burnaware.ini
[2009.03.22 23:11:34 | 000,084,480 | ---- | C] () -- C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.03.13 15:04:26 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\sysprs7.dll
[2009.03.11 16:58:45 | 000,001,024 | ---- | C] () -- C:\WINDOWS\System32\clauth2.dll
[2009.03.11 16:58:45 | 000,001,024 | ---- | C] () -- C:\WINDOWS\System32\clauth1.dll
[2009.03.11 16:58:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\ssprs.dll
[2009.03.11 16:58:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\serauth2.dll
[2009.03.11 16:58:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\serauth1.dll
[2009.03.11 16:58:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\nsprs.dll
[2009.03.11 16:43:01 | 000,087,552 | ---- | C] () -- C:\WINDOWS\System32\cpwmon2k.dll
[2008.11.06 18:37:32 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest
[2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest
[2008.11.06 18:33:02 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2008.08.29 14:58:26 | 000,197,408 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll
[2008.08.29 14:58:16 | 000,193,312 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll
[2008.03.06 15:59:58 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll
[2008.03.06 15:59:45 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\FPCALL.dll
[2008.03.06 15:58:25 | 000,009,343 | ---- | C] () -- C:\WINDOWS\System32\drivers\TDSMAPI.SYS
[2008.03.06 15:15:27 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008.03.06 14:28:30 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\tphklock.dll
[2008.03.06 14:28:29 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\notifyf2.dll
[2008.03.06 14:27:01 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\e100bmsg.dll
[2002.10.16 00:54:04 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2002.03.17 02:00:00 | 000,007,420 | ---- | C] () -- C:\WINDOWS\UA000011.DLL
[1999.01.22 20:46:56 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL

[color=#E56717]========== LOP Check ==========[/color]

[2010.03.12 17:31:06 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2010.08.07 20:56:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SBT
[2010.09.03 21:49:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2009.11.05 18:31:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\foobar2000
[2010.09.28 20:19:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\gtk-2.0
[2010.05.04 22:48:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Miranda
[2009.05.12 16:57:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Netscape
[2009.05.12 16:56:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten\Photodex
[2008.03.06 16:00:34 | 000,000,300 | ---- | M] () -- C:\WINDOWS\Tasks\BMMTask.job

[color=#E56717]========== Purity Check ==========[/color]


< End of report >


Code

OTL Extras logfile created on: 04.10.2010 23:16:24 - Run 2
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Dokumente und Einstellungen\Nutzer\Desktop\virr
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

511,00 Mb Total Physical Memory | 208,00 Mb Available Physical Memory | 41,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 73,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 27,95 Gb Total Space | 2,52 Gb Free Space | 9,01% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: CUSTOMER-4W9DTY
Current User Name: Nutzer
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[color=#E56717]========== System Restore Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

[color=#E56717]========== Firewall Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Trillian\trillian.exe" = C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian -- (Cerulean Studios)
"C:\Programme\Miranda IM\miranda32.exe" = C:\Programme\Miranda IM\miranda32.exe:*:Enabled:Miranda IM -- ( )


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 SR-1 Premium
"{00040407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 SR-1 Disc 2
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{0F7C2E47-089E-4d23-B9F7-39BE00100776}" = Toolbox
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{167F938F-5AD3-40e2-B05D-2B7C6F0FDE48}" = HP Deskjet D1500 Printer Driver 10.0 Rel .3
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{22B0E143-2B0B-435B-9F56-136A3D16065F}" = No23 Recorder
"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0
"{305468A6-DE2D-43ba-A168-2F45A97A89DA}" = DJ_SF_03_D1500_Software_Min
"{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java(TM) 6 Update 4
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4286E640-B5FB-11DF-AC4B-005056C00008}" = Google Earth
"{43721D86-16D1-46BF-8353-37CD82333BC3}" = OpenOffice.org 2.4
"{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}" = Cisco Systems VPN Client 5.0.04.0300
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{760B29F2-8663-419B-A025-5A55066E130B}" = Ulead Photo Express 6

"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{87001C85-FF5F-42F9-B78A-114A7ED373BE}" = ScanSoft PDF Converter
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A90000000001}" = Adobe Reader 9 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B136F351-BF1E-4948-9557-FA6524302ACA}" = SPSS 14.0 für Windows
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{EA664480-3844-11D5-8C25-444553540000}" = Funktion "TrackPoint-Eingabehilfen"
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{FC081D4D-DF1B-4CF1-B530-027E4118D846}" = ThinkPad-Konfiguration
"A4 USB Flachbett Scanner v1.0" = A4 USB Flachbett Scanner v1.0
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Agere Systems Soft Modem" = Agere Systems AC'97 Modem
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"BurnAware Free_is1" = BurnAware Free 2.3.4
"CANONBJ_Deinstall_CNMCP78.DLL" = Canon iP4200
"CutePDF Writer Installation" = CutePDF Writer 2.7
"dBpoweramp Music Converter" = dBpoweramp Music Converter
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"foobar2000" = foobar2000 v0.9.6.4
"Free CD to MP3 Converter" = Free CD to MP3 Converter
"Goodnight Timer_is1" = Goodnight Timer 1.1
"Google Updater" = Google Updater
"hp deskjet 970c series" = hp deskjet 970c series (Remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Miranda IM" = Miranda IM 0.8.22
"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Photodex Presenter" = Photodex Presenter
"Picasa 3" = Picasa 3
"Power Features" = IBM ThinkPad Battery MaxiMiser and Power Management Features
"Power Management Driver" = ThinkPad Power Management Driver
"PROSet" = Intel(R) PRO Network Adapters and Drivers
"ProShow Gold" = ProShow Gold
"SynTPDeinstKey" = ThinkPad UltraNav Driver
"ThinkPad FullScreen Magnifier" = ThinkPad FullScreen Magnifier
"Trillian" = Trillian
"VLC media player" = VLC media player 0.9.8a
"VobSub" = VobSub v2.23 (Remove Only)
"Wecker 2.2" = Wecker 2.2 2.2
"Winamp" = Winamp
"Winamp Toolbar" = Winamp Toolbar
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.5
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"xp-AntiSpy" = xp-AntiSpy 3.95

[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Move Media Player" = Move Media Player

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ System Events ]
Error - 01.10.2010 12:35:16 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31

Error - 01.10.2010 12:35:16 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  avgio  avipbb  Fips  intelppm  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  Smapint  ssmdrv  Tcpip  TDSMAPI
TPHKDRV
TPPWR

Error - 01.10.2010 12:58:30 | Computer Name = CUSTOMER-4W9DTY | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 03.10.2010 07:52:41 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7034
Description = Dienst "ThinkPad PM Service" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.

Error - 03.10.2010 07:52:41 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7034
Description = Dienst "Ati HotKey Poller" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.

Error - 03.10.2010 07:52:42 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7034
Description = Dienst "Cisco Systems, Inc. VPN Service" wurde unerwartet beendet.
Dies ist bereits 1 Mal passiert.

Error - 03.10.2010 07:52:43 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7034
Description = Dienst "SoundMAX Agent Service" wurde unerwartet beendet. Dies ist
bereits 1 Mal passiert.

Error - 03.10.2010 07:52:43 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7034
Description = Dienst "ScsiAccess" wurde unerwartet beendet. Dies ist bereits 1 Mal
passiert.

Error - 03.10.2010 19:23:49 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7034
Description = Dienst "ScsiAccess" wurde unerwartet beendet. Dies ist bereits 1 Mal
passiert.

Error - 04.10.2010 17:02:01 | Computer Name = CUSTOMER-4W9DTY | Source = Service Control Manager | ID = 7034
Description = Dienst "ScsiAccess" wurde unerwartet beendet. Dies ist bereits 1 Mal
passiert.


< End of report >
Seitenanfang Seitenende
05.10.2010, 00:44
Moderator

Beiträge: 5694
#10 Schritt 1

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte
während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking
und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.


Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button drücken.Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde

• Klicke Finish.• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

[color=darkred][size=+1]Schritt 2[/size][/color]

Hast Du noch Beschwerden? ;)
Seitenanfang Seitenende
05.10.2010, 10:54
Member

Themenstarter

Beiträge: 16
#11

Code

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=a8e3489fd38c634d93df8440ca070047
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-10-05 08:46:04
# local_time=2010-10-05 10:46:04 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 100 864 61779120 65116 0
# compatibility_mode=8192 67108863 100 0 216 216 0 0
# scanned=50371
# found=4
# cleaned=4
# scan_time=4551
C:\System Volume Information\_restore{0B5510DE-DC0D-4FE4-83DD-4CDA99110639}\RP206\A0037482.dll    Win32/TrojanDownloader.FakeAlert.ARF trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
C:\_OTL\MovedFiles\10032010_135240\C_Dokumente und Einstellungen\Nutzer\Anwendungsdaten\hotfix.exe    a variant of Win32/TrojanDownloader.FakeAlert.BDE trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
C:\_OTL\MovedFiles\10032010_135240\C_Dokumente und Einstellungen\Nutzer\Desktop\AntiSpyWareSetup.exe    a variant of Win32/TrojanDownloader.FakeAlert.BDE trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
C:\_OTL\MovedFiles\10032010_135240\C_WINDOWS\Jqisoa.exe    a variant of Win32/Kryptik.HCL trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C


Die Symptome sind ja schon seit einer Weile weg. Was ist jetzt Stand der Dinge?

Vielen lieben Dank für die kompetente Hilfe!
Seitenanfang Seitenende
05.10.2010, 13:22
Moderator

Beiträge: 5694
#12 Schritt 1

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Schritt 2

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.

Schritt 3

Nachsorge


Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra ;).

Erstelle einen neuen Systemwiederherstellungspunkt

Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).
• Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
• Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.
Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.

Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde, da Combofix das schon erledigt.

Massnahmen:

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra ;).

Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich CCleaner, (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe die Anleitung von Hijackthis-Forum.de. Bei Java (Sun) immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

• System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
Port-Scan-Test.
WLAN absichern.
Sichere Passwörter vergeben.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.


Freiwillige Spende

Seitenanfang Seitenende
06.10.2010, 13:37
Member

Themenstarter

Beiträge: 16
#13 Hallo und vielen Dank nochmal.
Ich habe auch die letzten Schritte nach Anweisung ausgeführt.
Ein weiterer Suchlauf mit AntiVir ergab nun dies

Code


Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{0B5510DE-DC0D-4FE4-83DD-4CDA99110639}\RP208\A0038945.exe
    --> Object
      [FUND]      Ist das Trojanische Pferd TR/Fakealert.aff.1
C:\System Volume Information\_restore{0B5510DE-DC0D-4FE4-83DD-4CDA99110639}\RP208\A0038946.exe
    --> Object
      [FUND]      Ist das Trojanische Pferd TR/Fakealert.aff.1
C:\System Volume Information\_restore{0B5510DE-DC0D-4FE4-83DD-4CDA99110639}\RP208\A0038947.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{0B5510DE-DC0D-4FE4-83DD-4CDA99110639}\RP208\A0038945.exe
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{0B5510DE-DC0D-4FE4-83DD-4CDA99110639}\RP208\A0038946.exe
    [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{0B5510DE-DC0D-4FE4-83DD-4CDA99110639}\RP208\A0038947.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
    [WARNUNG]   Die Datei wurde ignoriert.


Ist das noch bedenklich?
Beste Grüße,
Mandos
Seitenanfang Seitenende
06.10.2010, 18:07
Moderator

Beiträge: 5694
#14 Hast Du die Systemwiederherstellung deaktiviert?

Das sind noch solche Sachen welche dort hangen blieben:

• Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
• Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.
Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.
Seitenanfang Seitenende
08.10.2010, 19:21
Member

Themenstarter

Beiträge: 16
#15 ach man, da hab ich versucht alles zu beachten, und genau den letzten schritt habe ich übersehen...
jetzt ist alles gut.
vielen vielen dank noch mal.
dann geh ich die tage mal spenden;)
mandos
Seitenanfang Seitenende