laptop sehr langsam, boottime viel zu lang, manche internetseiten ersch.komisch

#0
19.10.2010, 17:03
...neu hier

Beiträge: 6
#1 Hallo liebe Comunity,
zuallererst möchte ich sagen, ihr seid meine letzte Hofnung den Rechner meiner Mitbewohnerin wieder fit zu bekommen, BEVOR Sie am 25.10 aus dem Urlaub kommt und mir den Kopf abreist...

zu allererst zu Punkt 1 :
habe mir wohl einen oder gleich mehrere Schädlinge eingefangen, die den Laptop unheimlich langsam machen / nahezu lahmlegen. In der Prozessübersicht des Taskmanagers gibt es auch einen Prozess namens QtZgAcer.exe der immer so ziwschen 99% und 95% der CPU auslastet. Einmal wo ich schaute, hieß der Prozess auf einmal 4htdoh8q.exe, jetzt aber - beim schreiben dieses Treads - wie gehabt der erste Name. Beim Runterfahren kommt eigentlich immer die Nachricht, dass die "dritekEcWnd.exe" nicht beendet werden kann.

Bekommen habe ich den Virus weil ich wohl aus Versehen auf einen verseuchten Link geklickt habe, dann ging der WindowsMedia Player auf (den ich sofort wieder zugeklickt habe) und dann kam eine Nachricht, dass der PC sich nun runterfährt. Naja, dannach ging alles eben nur noch super langsam.

Wie dem auch sei, ich habe erstmal versucht mir selbst zu helfen und den ersten Scan mit Ad-Aware am 16.10 gemacht, was 2 Ergebnisse brachte:

Hier das Log von Ad-Aware:
-----------------------------------------------------------------------------------------------------------------
Logfile created: 16.10.2010 15:39:42
Ad-Aware version: 8.3.3
Extended engine: 3
Extended engine version: 3.1.2770
User performing scan: Jessi

*********************** Definitions database information ***********************
Lavasoft definition file: 150.79
Genotype definition file version: Unknown
Extended engine definition file: 6846.0

******************************** Scan results: *********************************
Scan profile name: Vollständiger Scan (ID: full)
Objects scanned: 93838
Objects detected: 2


Type Detected
==========================
Processes.......: 0
Registry entries: 1
Hostfile entries: 0
Files...........: 1
Folders.........: 0
LSPs............: 0
Cookies.........: 0
Browser hijacks.: 0
MRU objects.....: 0



Skipped items:
Description: HKU:S-1-5-21-108897019-3929902183-4124300286-1006\Software\Microsoft\Windows\CurrentVersion\Run:Helper Family Name: unknown Engine: 1 Clean status: Success Item ID: 1 Family ID: 0

Quarantined items:
Description: c:\dokumente und einstellungen\jessi\anwendungsdaten\helper\bin\liveu.exe Family Name: Trojan-Spy.Win32.Zbot.gen (v) Engine: 3 Clean status: Success Item ID: 1 Family ID: 0 MD5: 717d474a4d326eaccf695034a0489b2e

Scan and cleaning complete: Stopped by request after 72529 seconds

*********************************** Settings ***********************************

Scan profile:
ID: full, enabled:1, value: Vollständiger Scan
ID: folderstoscan, enabled:1, value: C:\,D:\
ID: useantivirus, enabled:1, value: true
ID: sections, enabled:1
ID: scancriticalareas, enabled:1, value: true
ID: scanrunningapps, enabled:1, value: true
ID: scanregistry, enabled:1, value: true
ID: scanlsp, enabled:1, value: true
ID: scanads, enabled:1, value: true
ID: scanhostsfile, enabled:1, value: true
ID: scanmru, enabled:1, value: true
ID: scanbrowserhijacks, enabled:1, value: true
ID: scantrackingcookies, enabled:1, value: true
ID: closebrowsers, enabled:1, value: false
ID: filescanningoptions, enabled:1
ID: archives, enabled:1, value: true
ID: onlyexecutables, enabled:1, value: false
ID: skiplargerthan, enabled:1, value: 20480
ID: scanrootkits, enabled:1, value: true
ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict
ID: usespywareheuristics, enabled:1, value: true

Scan global:
ID: global, enabled:1
ID: addtocontextmenu, enabled:1, value: true
ID: playsoundoninfection, enabled:1, value: false
ID: soundfile, enabled:0, value: N/A

Scheduled scan settings:
<Empty>

Update settings:
ID: updates, enabled:1
ID: launchthreatworksafterscan, enabled:1, value: off, domain: normal,off,silently
ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: schedules, enabled:1, value: true
ID: updatedaily1, enabled:1, value: Daily 1
ID: time, enabled:1, value: Sat Oct 16 05:29:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily2, enabled:1, value: Daily 2
ID: time, enabled:1, value: Sat Oct 16 11:29:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily3, enabled:1, value: Daily 3
ID: time, enabled:1, value: Sat Oct 16 17:29:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily4, enabled:1, value: Daily 4
ID: time, enabled:1, value: Sat Oct 16 23:29:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updateweekly1, enabled:1, value: Weekly
ID: time, enabled:1, value: Sat Oct 16 05:29:00 2010
ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: true
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: true
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false

Appearance settings:
ID: appearance, enabled:1
ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
ID: showtrayicon, enabled:1, value: true
ID: autoentertainmentmode, enabled:1, value: true
ID: guimode, enabled:1, value: mode_simple, domain: mode_advanced,mode_simple
ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language

Realtime protection settings:
ID: realtime, enabled:1
ID: layers, enabled:1
ID: useantivirus, enabled:1, value: true
ID: usespywareheuristics, enabled:1, value: true
ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant
ID: modules, enabled:1
ID: processprotection, enabled:1, value: true
ID: onaccessprotection, enabled:1, value: false
ID: registryprotection, enabled:1, value: true
ID: networkprotection, enabled:1, value: true


****************************** System information ******************************
Computer name: JESSICA
Processor name: Intel(R) Pentium(R) M processor 1.70GHz
Processor identifier: x86 Family 6 Model 13 Stepping 8
Processor speed: ~1699MHZ
Raw info: processorarchitecture 0, processortype 586, processorlevel 6, processor revision 3336, number of processors 1, processor features: [MMX,SSE,SSE2]
Physical memory available: 399757312 bytes
Physical memory total: 1063305216 bytes
Virtual memory available: 1884905472 bytes
Virtual memory total: 2147352576 bytes
Memory load: 62%
Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Windows startup mode:

Running processes:
PID: 680 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 752 name: \??\C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 776 name: \??\C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 820 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 832 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 988 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1080 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1116 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1152 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1320 name: C:\Programme\Intel\Wireless\Bin\EvtEng.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1392 name: C:\Programme\Intel\Wireless\Bin\S24EvMon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1552 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1672 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1852 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1960 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2024 name: C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 156 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1436 name: C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1464 name: C:\Acer\Empowering Technology\admServ.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1612 name: C:\WINDOWS\RTHDCPL.EXE owner: Jessi domain: JESSICA
PID: 1760 name: C:\WINDOWS\system32\hkcmd.exe owner: Jessi domain: JESSICA
PID: 1780 name: C:\WINDOWS\system32\igfxpers.exe owner: Jessi domain: JESSICA
PID: 1828 name: C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe owner: Jessi domain: JESSICA
PID: 1888 name: C:\acer\Empowering Technology\ePower\epm-dm.exe owner: Jessi domain: JESSICA
PID: 1416 name: C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE owner: Jessi domain: JESSICA
PID: 276 name: C:\Acer\Empowering Technology\eRecovery\Monitor.exe owner: Jessi domain: JESSICA
PID: 292 name: C:\Acer\Empowering Technology\admtray.exe owner: Jessi domain: JESSICA
PID: 300 name: C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe owner: Jessi domain: JESSICA
PID: 336 name: C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe owner: Jessi domain: JESSICA
PID: 412 name: C:\WINDOWS\system32\ctfmon.exe owner: Jessi domain: JESSICA
PID: 428 name: C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe owner: Jessi domain: JESSICA
PID: 536 name: C:\Programme\Internet Explorer\IEXPLORE.EXE owner: Jessi domain: JESSICA
PID: 656 name: C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 796 name: C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1024 name: C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1240 name: C:\Programme\Java\jre6\bin\jqs.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1168 name: C:\Programme\Intel\Wireless\Bin\RegSrvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1824 name: C:\WINDOWS\system32\igfxext.exe owner: Jessi domain: JESSICA
PID: 2104 name: C:\WINDOWS\explorer.exe owner: Jessi domain: JESSICA
PID: 2136 name: C:\WINDOWS\system32\igfxsrvc.exe owner: Jessi domain: JESSICA
PID: 2260 name: C:\Programme\CyberLink\Shared Files\RichVideo.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2324 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2468 name: C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3232 name: C:\WINDOWS\system32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3260 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3460 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2008 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2664 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: Jessi domain: JESSICA
PID: 228 name: C:\WINDOWS\system32\wuauclt.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3364 name: C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe owner: Jessi domain: JESSICA
PID: 3932 name: C:\WINDOWS\system32\wscntfy.exe owner: Jessi domain: JESSICA

Startup items:
Name: PostBootReminder
imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}
Name: CDBurn
imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}
Name: WebCheck
imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: SysTray
imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Name: WPDShServiceObj
imagepath: {AAA288BA-9A4C-45B0-95D7-94D524869DB5}
Name: LaunchApp
imagepath: Alaunch
Name: RTHDCPL
imagepath: RTHDCPL.EXE
Name: Alcmtr
imagepath: ALCMTR.EXE
Name: IMJPMIG8.1
imagepath: "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
Name: MSPY2002
imagepath: C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
Name: PHIME2002ASync
imagepath: C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
Name: PHIME2002A
imagepath: C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
Name: igfxtray
imagepath: C:\WINDOWS\system32\igfxtray.exe
Name: igfxhkcmd
imagepath: C:\WINDOWS\system32\hkcmd.exe
Name: igfxpers
imagepath: C:\WINDOWS\system32\igfxpers.exe
Name: eDataSecurity Loader
imagepath: C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
Name: EPM-DM
imagepath: c:\acer\Empowering Technology\ePower\epm-dm.exe
Name: Acer ePower Management
imagepath: C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
Name: LManager
imagepath: C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
Name: eRecoveryService
imagepath: C:\Acer\Empowering Technology\eRecovery\Monitor.exe
Name: ADMTray.exe
imagepath: "C:\Acer\Empowering Technology\admtray.exe"
Name: avgnt
imagepath: "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
Name: IR_SERVER
imagepath: C:\Programme\Realtek\REALTEK DTV USB DEVICE\IR_SERVER.exe
Name: SunJavaUpdateSched
imagepath: "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
Name: KernelFaultCheck
imagepath: %systemroot%\system32\dumprep 0 -k
Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
imagepath: Browseui preloader
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
imagepath: Component Categories cache daemon
Name: CTFMON.EXE
imagepath: C:\WINDOWS\system32\CTFMON.EXE
Name:
imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
Name:
imagepath: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\desktop.ini

Bootexecute items:
Name:
imagepath: autocheck autochk *

Running services:
Name: ALG
displayname: Gatewaydienst auf Anwendungsebene
Name: AntiVirScheduler
displayname: AntiVir PersonalEdition Classic Planer
Name: AntiVirService
displayname: AntiVir PersonalEdition Classic Guard
Name: AudioSrv
displayname: Windows Audio
Name: AWService
displayname: AdminWorks Agent X6
Name: CLCapSvc
displayname: CyberLink Background Capture Service (CBCS)
Name: CLSched
displayname: CyberLink Task Scheduler (CTS)
Name: CryptSvc
displayname: Kryptografiedienste
Name: CyberLink Media Library Service
displayname: CyberLink Media Library Service
Name: DcomLaunch
displayname: DCOM-Server-Prozessstart
Name: Dhcp
displayname: DHCP-Client
Name: Dnscache
displayname: DNS-Client
Name: ERSvc
displayname: Fehlerberichterstattungsdienst
Name: Eventlog
displayname: Ereignisprotokoll
Name: EventSystem
displayname: COM+-Ereignissystem
Name: EvtEng
displayname: Intel(R) PROSet/Wireless Event Log
Name: FastUserSwitchingCompatibility
displayname: Kompatibilität für schnelle Benutzerumschaltung
Name: helpsvc
displayname: Hilfe und Support
Name: HidServ
displayname: HID Input Service
Name: HTTPFilter
displayname: HTTP-SSL
Name: JavaQuickStarterService
displayname: Java Quick Starter
Name: lanmanserver
displayname: Server
Name: lanmanworkstation
displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
displayname: Lavasoft Ad-Aware Service
Name: LmHosts
displayname: TCP/IP-NetBIOS-Hilfsprogramm
Name: Netman
displayname: Netzwerkverbindungen
Name: Nla
displayname: NLA (Network Location Awareness)
Name: PlugPlay
displayname: Plug & Play
Name: PolicyAgent
displayname: IPSEC-Dienste
Name: ProtectedStorage
displayname: Geschützter Speicher
Name: RasMan
displayname: RAS-Verbindungsverwaltung
Name: RegSrvc
displayname: Intel(R) PROSet/Wireless Registry Service
Name: RichVideo
displayname: Cyberlink RichVideo Service(CRVS)
Name: RpcSs
displayname: Remoteprozeduraufruf (RPC)
Name: S24EventMonitor
displayname: Intel(R) PROSet/Wireless Service
Name: SamSs
displayname: Sicherheitskontenverwaltung
Name: Schedule
displayname: Taskplaner
Name: seclogon
displayname: Sekundäre Anmeldung
Name: SENS
displayname: Systemereignisbenachrichtigung
Name: SharedAccess
displayname: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Name: ShellHWDetection
displayname: Shellhardwareerkennung
Name: Spooler
displayname: Druckwarteschlange
Name: srservice
displayname: Systemwiederherstellungsdienst
Name: SSDPSRV
displayname: SSDP-Suchdienst
Name: stisvc
displayname: Windows-Bilderfassung (WIA)
Name: TapiSrv
displayname: Telefonie
Name: TermService
displayname: Terminaldienste
Name: Themes
displayname: Designs
Name: TrkWks
displayname: Überwachung verteilter Verknüpfungen (Client)
Name: W32Time
displayname: Windows-Zeitgeber
Name: WebClient
displayname: WebClient
Name: winmgmt
displayname: Windows-Verwaltungsinstrumentation
Name: wscsvc
displayname: Sicherheitscenter
Name: wuauserv
displayname: Automatische Updates
Name: WudfSvc
displayname: Windows Driver Foundation - User-mode Driver Framework
Name: WZCSVC
displayname: Konfigurationsfreie drahtlose Verbindung
-----------------------------------------------------------------------------------------------------------------



Naja, um auf Nummer sicher zu gehen dacht ich mir, lasse ich lieber noch einmal ein anderes Programm drüber laufen und habe noch Malwarebytes installiert und ausgeführt, was erneut ein paar Dinge gefunden hat, die ich ebenfalls gleich entfernt habe bevor ich dann den reboot gemacht habe:

Hier das Malwarebytes log vom ersten Scan am 17.10.:
-----------------------------------------------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4858

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.10.2010 15:26:39
mbam-log-2010-10-17 (15-26-39).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 145444
Laufzeit: 1 Stunde(n), 42 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\winrar.exe (Trojan.Agent) -> No action taken.
-----------------------------------------------------------------------------------------------------------------



Ich hatte schon gehofft, damit wäre alles erledigt, aber nun ein paar reboots und Tage später muss ich doch einsehen, dass der Rechner immer noch viel viel zu langsam läuft und ebenfall noch dieser Prozess QtZgAcer.exe das System zu blockieren scheint. Achso, eins fällt mir noch ein, nach einem Reboot kam auch eine Art Windowsmeldung (die auf blauem screen, bevor Windows richtig geladen hat) mit dem Hinweis, dass die "updater.exe" nun ausgefürt wird.


Punkt 2:
ich habe, nachdem sich der Virus nun offensichtlich wieder hergestellt hatte, doch noch einmal richtg gegoogelt und bin über euer Forum gestoßen und beschlossen, euch um Hilfe zu bitten, damit ich den Rechner wieder nachhaltig fit bekomme und nicht nur für ein, zwei reboots. Daraufhin habe ich nun also alle temporären Dateien gelöscht!

Punkt 3:
Nachdem nun also auch die temp Dateien gelöscht waren, habe ich gemäß der Anleitung erneut einen Malwarebytes Scan durchgeführt, der überraschenderweise nun keinen Fund mehr anzeigte:

Hier das Malwarebytes log vom zweiten Scan am 19.10.:
-----------------------------------------------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4875

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19.10.2010 01:17:07
mbam-log-2010-10-19 (01-17-07).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 145575
Laufzeit: 55 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
-----------------------------------------------------------------------------------------------------------------


Ein Avira Antivir Scan brachte jedoch immrhin 3 Funde zum Vorschein:
Exportierte Ereignisse:

19.10.2010 15:19 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{8480B5F8-FB24-4513-A7C5-455B2E64E485}\RP532\A0056140.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.bxia' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ced9b03.qua'
verschoben!

19.10.2010 15:19 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{8480B5F8-FB24-4513-A7C5-455B2E64E485}\RP532\A0056133.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ced9b02.qua'
verschoben!

19.10.2010 15:06 [Scanner] Malware gefunden
Die Datei 'C:\Dokumente und
Einstellungen\Jessi\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2\6502882-7479
d464'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.HN' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ced9827.qua'
verschoben!
-----------------------------------------------------------------------------------------------------------------




Punkt 4: GMER Report:
-----------------------------------------------------------------------------------------------------------------
GMER 1.0.15.15472 - http://www.gmer.net
Rootkit scan 2010-10-19 17:01:49
Windows 5.1.2600 Service Pack 3
Running: 4htd0h8q.exe; Driver: C:\DOKUME~1\Jessi\LOKALE~1\Temp\pfddypoc.sys


---- System - GMER 1.0.15 ----

SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF764E87E]
SSDT F7D2F834 ZwCreateThread
SSDT F7D2F820 ZwOpenProcess
SSDT F7D2F825 ZwOpenThread
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF764EBFE]
SSDT F7D2F82F ZwTerminateProcess
SSDT F7D2F82A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2428 80501C60 4 Bytes CALL 644D13C9

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Mozilla Firefox\firefox.exe[440] ntdll.dll!NtCreate 7C91D1AE 5 Bytes CALL 004F0000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] ntdll.dll!NtProtec 7C91D6EE 5 Bytes CALL 004D0000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] kernel32.dll!ExitP 7C81CB12 5 Bytes CALL 00DF0000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] ADVAPI32.dll!Crypt 77DB9FFD 5 Bytes CALL 01130000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] ADVAPI32.dll!Crypt 77DBA1F1 5 Bytes CALL 010F0000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] ADVAPI32.dll!Crypt 77DE1849 5 Bytes CALL 01110000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] WS2_32.dll!send 71A14C27 5 Bytes CALL 010B0000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] USER32.dll!PeekMes 7E36929B 5 Bytes CALL 01090000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] wininet.dll!Commit 408C0F78 5 Bytes CALL 00FB0000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] wininet.dll!Intern 408C654B 5 Bytes CALL 00E10000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] wininet.dll!Intern 408C9088 5 Bytes CALL 01070000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] wininet.dll!Intern 408CBF7F 5 Bytes CALL 00E90000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] wininet.dll!HttpAd 408CCF46 5 Bytes CALL 00FF0000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] wininet.dll!HttpOp 408CD508 5 Bytes CALL 01030000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] wininet.dll!Intern 408CDEAE 5 Bytes CALL 00E70000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] wininet.dll!HttpSe 408CFABE 5 Bytes CALL 00F90000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] wininet.dll!HttpOp 408CFBFB 5 Bytes CALL 01050000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] wininet.dll!HttpAd 408CFE49 5 Bytes CALL 01010000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] wininet.dll!HttpSe 408DEE89 5 Bytes CALL 00F70000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] wininet.dll!Commit 408E3085 5 Bytes CALL 00FD0000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] wininet.dll!Intern 408E3349 5 Bytes CALL 00E50000
.text C:\Programme\Mozilla Firefox\firefox.exe[440] wininet.dll!Intern 408E3381 5 Bytes CALL 00E30000
.text C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanio 7E37C298 7 Bytes JMP 00385CF0 C:\Programme\Sony Ericsson\Sony E
.text C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanio 7E37E7E5 7 Bytes JMP 00385C60 C:\Programme\Sony Ericsson\Sony E
.text C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanio 7E38113B 1 Byte [E9]
.text C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanio 7E38113B 7 Bytes JMP 00385CD0 C:\Programme\Sony Ericsson\Sony E
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 7C91D1AE 5 Bytes CALL 00A60000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 7C91D6EE 5 Bytes CALL 00A40000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 7C81CB12 5 Bytes CALL 00A80000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 7E36929B 5 Bytes CALL 00F30000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 77DB9FFD 5 Bytes CALL 00FD0000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 77DBA1F1 5 Bytes CALL 00F90000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 77DE1849 5 Bytes CALL 00FB0000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 71A14C27 5 Bytes CALL 00F50000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 408C0F78 5 Bytes CALL 00E50000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 408C654B 5 Bytes CALL 00AA0000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 408C9088 5 Bytes CALL 00F10000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 408CBF7F 5 Bytes CALL 00D30000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 408CCF46 5 Bytes CALL 00E90000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 408CD508 5 Bytes CALL 00ED0000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 408CDEAE 5 Bytes CALL 00D10000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 408CFABE 5 Bytes CALL 00D70000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 408CFBFB 5 Bytes CALL 00EF0000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 408CFE49 5 Bytes CALL 00EB0000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 408DEE89 5 Bytes CALL 00D50000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 408E3085 5 Bytes CALL 00E70000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 408E3349 5 Bytes CALL 00CF0000
.text C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe[2672] 408E3381 5 Bytes CALL 00CD0000
.text C:\WINDOWS\explorer.exe[3828] ntdll.dll!NtCreateThread 7C91D1AE 5 Bytes CALL 00C30000
.text C:\WINDOWS\explorer.exe[3828] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes CALL 00C10000
.text C:\WINDOWS\explorer.exe[3828] kernel32.dll!ExitProcess 7C81CB12 5 Bytes CALL 00C50000

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)

Device \Driver\Cdrom \Device\CdRom0 OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corpor
AttachedDevice \FileSystem\Fastfat \Fat OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)

---- Threads - GMER 1.0.15 ----

Thread FIREFOX.EXE [440:512] 00170000
Thread 4htd0h8q.exe [2672:2640] 00170000
Thread EXPLORER.EXE [3828:3832] 000C0000

---- EOF - GMER 1.0.15 ----

-----------------------------------------------------------------------------------------------------------------




Punkt 5: HijakThis Logfile:
-----------------------------------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:44:12, on 19.10.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Jessi\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IR_SERVER] C:\Programme\Realtek\REALTEK DTV USB DEVICE\IR_SERVER.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Companion] "C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe" /systray /nologon
O4 - HKCU\..\Run: [Sysbe] C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Adobe\Update\mormem.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 9140 bytes
-----------------------------------------------------------------------------------------------------------------


Punkt 6: HijackThis Uninstall List:
-----------------------------------------------------------------------------------------------------------------
7-Zip 4.65
Acer Arcade
Acer eDataSecurity Management 1.00.23
Acer eLock Management
Acer Empowering Technology framework
Acer eNet Management
Acer ePerformance Management
Acer ePower Management
Acer ePresentation Management
Acer eSettings Management
Acer GridVista
Acer Screensaver
Ad-Aware
Ad-Aware
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 7.0
Adobe® Photoshop® Album Starter Edition 3.0
Avira AntiVir Personal - Free Antivirus
HDAUDIO Soft Data Fax Modem with SmartCP
High Definition Audio Driver Package - KB888111
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB2158563)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB970653-v3)
Hotfix für Windows XP (KB976098-v2)
Hotfix für Windows XP (KB979306)
Hotfix für Windows XP (KB981793)
Intel(R) Graphics Media Accelerator Driver for Mobile
Intel(R) PROSet/Wireless Software
Java(TM) 6 Update 20
LaserJet 1020 series
Launch Manager
Malwarebytes' Anti-Malware
mCore
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Security Update (KB2416447)
Microsoft .NET Framework 1.1 Security Update (KB979906)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile DEU Language Pack
Microsoft .NET Framework 4 Client Profile DEU Language Pack
Microsoft .NET Framework 4 Extended
Microsoft .NET Framework 4 Extended
Microsoft .NET Framework 4 Extended DEU Language Pack
Microsoft .NET Framework 4 Extended DEU Language Pack
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Professional Edition 2003
Microsoft Silverlight
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket
mMHouse
Mozilla Firefox (3.0.19)
mPfMgr
mProSafe
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
mWlsSafe
mXML
Nero 6 Ultra Edition
Picasa 3
REALTEK DTV USB DEVICE
Realtek High Definition Audio Driver
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2416473)
Security Update for Microsoft .NET Framework 4 Extended (KB2416472)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2183461)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2360131)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB981332)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)
Sicherheitsupdate für Windows Media Player (KB2378111)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player (KB975558)
Sicherheitsupdate für Windows Media Player (KB978695)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB2079403)
Sicherheitsupdate für Windows XP (KB2115168)
Sicherheitsupdate für Windows XP (KB2121546)
Sicherheitsupdate für Windows XP (KB2160329)
Sicherheitsupdate für Windows XP (KB2183461)
Sicherheitsupdate für Windows XP (KB2229593)
Sicherheitsupdate für Windows XP (KB2259922)
Sicherheitsupdate für Windows XP (KB2279986)
Sicherheitsupdate für Windows XP (KB2286198)
Sicherheitsupdate für Windows XP (KB2296011)
Sicherheitsupdate für Windows XP (KB2347290)
Sicherheitsupdate für Windows XP (KB2360937)
Sicherheitsupdate für Windows XP (KB2387149)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950759)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953838)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956390)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961371)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB963027)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB969897)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB969947)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971468)
Sicherheitsupdate für Windows XP (KB971486)
Sicherheitsupdate für Windows XP (KB971557)
Sicherheitsupdate für Windows XP (KB971633)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB971961)
Sicherheitsupdate für Windows XP (KB972260)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973346)
Sicherheitsupdate für Windows XP (KB973354)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973525)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974455)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975561)
Sicherheitsupdate für Windows XP (KB975562)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB976325)
Sicherheitsupdate für Windows XP (KB977165)
Sicherheitsupdate für Windows XP (KB977816)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978037)
Sicherheitsupdate für Windows XP (KB978251)
Sicherheitsupdate für Windows XP (KB978262)
Sicherheitsupdate für Windows XP (KB978338)
Sicherheitsupdate für Windows XP (KB978542)
Sicherheitsupdate für Windows XP (KB978601)
Sicherheitsupdate für Windows XP (KB978706)
Sicherheitsupdate für Windows XP (KB979309)
Sicherheitsupdate für Windows XP (KB979482)
Sicherheitsupdate für Windows XP (KB979559)
Sicherheitsupdate für Windows XP (KB979683)
Sicherheitsupdate für Windows XP (KB979687)
Sicherheitsupdate für Windows XP (KB980195)
Sicherheitsupdate für Windows XP (KB980218)
Sicherheitsupdate für Windows XP (KB980232)
Sicherheitsupdate für Windows XP (KB980436)
Sicherheitsupdate für Windows XP (KB981322)
Sicherheitsupdate für Windows XP (KB981349)
Sicherheitsupdate für Windows XP (KB981852)
Sicherheitsupdate für Windows XP (KB981957)
Sicherheitsupdate für Windows XP (KB981997)
Sicherheitsupdate für Windows XP (KB982132)
Sicherheitsupdate für Windows XP (KB982214)
Sicherheitsupdate für Windows XP (KB982381)
Sicherheitsupdate für Windows XP (KB982665)
Sicherheitsupdate für Windows XP (KB982802)
Skype Toolbars
Skype™ 4.2
Sony Ericsson PC Companion 1.50.52
Sony Ericsson PC Suite
Spybot - Search & Destroy
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update für Microsoft Windows (KB971513)
Update für Windows Internet Explorer 8 (KB976662)
Update für Windows Internet Explorer 8 (KB982664)
Update für Windows XP (KB2141007)
Update für Windows XP (KB2345886)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955759)
Update für Windows XP (KB955839)
Update für Windows XP (KB961503)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
Update für Windows XP (KB976749)
Update für Windows XP (KB978207)
Update für Windows XP (KB980182)
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
Windows Feature Pack for Storage (32-bit) - IMAPI update for Blu-Ray
Windows Internet Explorer 8
Windows Management Framework Core
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
XML Paper Specification Shared Components Language Pack 1.0
XP Codec Pack
-----------------------------------------------------------------------------------------------------------------


uf... hoffe sehr das damit jemand etwas anfangen kann und ihr nicht erschlagen werden!!! Seid sozusagen meine letzte Hoffnung bevor ich dann das System neu aufsetzen müsste un den Zorn meiner Mitbewoherin über mir ergehen lassen muss... also, ich freue mich sehr über jede Hilfe!!! Vielen Dank im Vorraus,
Ernesto
Seitenanfang Seitenende
19.10.2010, 17:39
Member
Avatar Gool

Beiträge: 4730
#2 Als einzigen Schädling kann ich derzeit nur noch

O4 - HKCU\..\Run: [Sysbe] C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Adobe\Update\mormem.exe

entdecken.

Die QtZgAcer.exe gehört zum Acer Laptop. Kannst Du aber durchaus auch deaktivieren (also aus dem Autostart rausschmeißen).

Lasse einmal Combofix durchlaufen und poste das Ergebnis.
http://www.grabsteinschubser.de/it-security/combofix/

Und ich hoffe, Du hattest wenigstens die Erlaubnis, den Laptop Deiner Mitbewohnerin zu nutzen ;)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
19.10.2010, 19:45
...neu hier

Themenstarter

Beiträge: 6
#3 wow, das ging aber schnell mit einer Antowort. Habe meine Mitbewohnerin gefragt, ob ich Ihren Rechner mal benutzen dürfte, von Tagelangemdauer Virenscannen war allerdings keine Rede....


Aber zurück zur Sache. Habe Combfix durchlafen lassen und der Rechner wurde neu gestartet, weil "rootkit aktivitäten" erkannt wurden. Hier das Log:

------------------------------------------------------------------------------------------------------------------------------------
ComboFix 10-10-18.06 - Jessi 19.10.2010 19:04:45.1.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1014.577 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Jessi\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Internet Explorer\SET390.tmp
c:\programme\Internet Explorer\SET395.tmp
c:\programme\WinPCap
c:\programme\WinPCap\daemon_mgm.exe
c:\programme\WinPCap\npf_mgm.exe
c:\programme\WinPCap\rpcapd.exe
C:\readme.txt
c:\windows\system32\autorun.ini
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2010-09-19 bis 2010-10-19 ))))))))))))))))))))))))))))))
.

2010-10-17 11:15 . 2010-10-17 11:15 -------- d-----w- c:\dokumente und einstellungen\Jessi\Anwendungsdaten\Malwarebytes
2010-10-17 11:13 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-17 11:13 . 2010-10-17 11:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-17 11:12 . 2010-10-17 11:12 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-10-17 11:12 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-17 09:48 . 2010-09-08 12:59 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-10-16 03:30 . 2010-09-08 12:59 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-10-16 03:28 . 2010-10-16 03:28 -------- d-----w- c:\dokumente und einstellungen\Jessi\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-10-16 03:25 . 2010-10-16 03:25 -------- d--h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{437292BE-95BD-4B12-B699-6D217A03ACAF}
2010-10-16 03:20 . 2010-10-16 03:20 -------- d-----w- c:\programme\Lavasoft
2010-10-16 03:20 . 2010-10-16 03:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-10-15 11:43 . 2010-10-15 11:43 -------- d-----w- c:\dokumente und einstellungen\Jessi\Anwendungsdaten\Helper
2010-10-13 17:46 . 2010-09-18 06:52 974848 ------w- c:\windows\system32\dllcache\mfc42.dll
2010-10-13 17:46 . 2010-09-18 06:52 953856 ------w- c:\windows\system32\dllcache\mfc40u.dll
2010-10-13 17:46 . 2010-08-23 16:11 617472 ------w- c:\windows\system32\dllcache\comctl32.dll
2010-10-08 11:30 . 2009-03-25 15:48 106208 ----a-w- c:\windows\system32\drivers\s1018mgmt.sys
2010-10-08 11:30 . 2009-03-25 15:48 104744 ----a-w- c:\windows\system32\drivers\s1018obex.sys
2010-10-08 11:30 . 2009-03-25 15:48 26024 ----a-w- c:\windows\system32\drivers\s1018nd5.sys
2010-10-08 11:30 . 2009-03-25 15:48 15016 ----a-w- c:\windows\system32\drivers\s1018mdfl.sys
2010-10-08 11:30 . 2009-03-25 15:48 12200 ----a-w- c:\windows\system32\drivers\s1018cmnt.sys
2010-10-08 11:30 . 2009-03-25 15:48 12200 ----a-w- c:\windows\system32\drivers\s1018cm.sys
2010-10-08 11:30 . 2009-03-25 15:48 114728 ----a-w- c:\windows\system32\drivers\s1018mdm.sys
2010-10-08 11:30 . 2009-03-25 15:48 86824 ----a-w- c:\windows\system32\drivers\s1018bus.sys
2010-10-08 11:30 . 2009-03-25 15:48 12200 ----a-w- c:\windows\system32\drivers\s1018whnt.sys
2010-10-08 11:30 . 2009-03-25 15:48 12200 ----a-w- c:\windows\system32\drivers\s1018wh.sys
2010-10-08 11:30 . 2009-03-25 15:48 109864 ----a-w- c:\windows\system32\drivers\s1018unic.sys
2010-10-08 11:30 . 2009-03-25 15:48 10792 ----a-w- c:\windows\system32\drivers\s1018cr.sys
2010-09-29 21:23 . 2010-09-29 21:23 -------- d-sh--w- c:\dokumente und einstellungen\Default User\IETldCache
2010-09-29 14:06 . 2010-09-29 14:06 -------- d-----w- c:\dokumente und einstellungen\Jessi\Anwendungsdaten\Thunderbird

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Companion"="c:\programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe" [2009-06-18 772096]
"Sysbe"="c:\dokumente und einstellungen\Jessi\Anwendungsdaten\Adobe\Update\mormem.exe" [2010-10-19 279552]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"RTHDCPL"="RTHDCPL.EXE" [2005-11-16 15600128]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-18 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-18 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-18 114688]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-10-19 69632]
"EPM-DM"="c:\acer\Empowering Technology\ePower\epm-dm.exe" [2005-11-25 212992]
"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2005-11-09 3084288]
"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2005-12-01 458752]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 397312]
"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 266497]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TMMonitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\TMMonitor.lnk
backup=c:\windows\pss\TMMonitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2005-06-23 18:33 57344 ----a-w- c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-09-06 12:31 136176 ----a-w- c:\dokumente und einstellungen\Jessi\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2005-08-31 17:59 147456 ------w- c:\program files\Acer\Acer Arcade\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
2006-11-23 23:06 487424 ----a-r- c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*;)isabled:Windows-Remoteverwaltung

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [16.10.2010 05:30 64288]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [08.09.2010 14:59 1355928]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [26.04.2007 20:13 16512]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [08.09.2010 14:59 15008]
S3 RTL2832U_IRHID;HID Infrared Remote Receiver;c:\windows\system32\drivers\RTL2832U_IRHID.sys [05.03.2009 03:02 37280]
S3 RTL2832UBDA;REALTEK 2832U BDA Driver;c:\windows\system32\drivers\RTL2832UBDA.sys [04.03.2009 10:27 91168]
S3 RTL2832UUSB;REALTEK 2832U USB Driver;c:\windows\system32\drivers\RTL2832UUSB.sys [04.03.2009 10:27 32800]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [08.10.2010 13:30 86824]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [08.10.2010 13:30 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [08.10.2010 13:30 114728]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [08.10.2010 13:30 106208]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [08.10.2010 13:30 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [08.10.2010 13:30 104744]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [08.10.2010 13:30 109864]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [04.08.2004 05:00 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - INT15.SYS

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
.
Inhalt des "geplante Tasks" Ordners

2010-10-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-108897019-3929902183-4124300286-1006Core.job
- c:\dokumente und einstellungen\Jessi\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-09-06 12:31]

2010-10-19 c:\windows\Tasks\User_Feed_Synchronization-{0994F201-A32F-46A8-97D0-5CEC8A4EE380}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]

2010-10-19 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-09-08 12:59]
.
.
------- Zusätzlicher Suchlauf -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Sample Toolband Serach - c:\windows\system32\ToolBand.dll/MENUSEARCH.HTM
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Jessi\Anwendungsdaten\Mozilla\Firefox\Profiles\rtzu2fgx.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\dokumente und einstellungen\Jessi\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-IR_SERVER - c:\programme\Realtek\REALTEK DTV USB DEVICE\IR_SERVER.exe
MSConfigStartUp-ArcSoft Connection Service - c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(784)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(720)
c:\windows\system32\MSNChatHook.dll
c:\windows\system32\sysenv.dll
c:\windows\system32\MSVCR71.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\acer\Empowering Technology\admServ.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\windows\system32\igfxext.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\windows\system32\imapi.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-19 19:26:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-10-19 17:26

Vor Suchlauf: 16 Verzeichnis(se), 22.393.946.112 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 22.973.710.336 Bytes frei

- - End Of File - - 9B9B7513C485D49991A20951EF9FAC80
------------------------------------------------------------------------------------------------------------------------------------


Nach dem Neustart habe ich übriegend dann verpeilt, die beiden aktiven Virenscanner wieder erneut zu deaktivieren was aber auch kam, weil ich Angst hatte das sich das System aufhängt wenn ich da irgendwie rumklicke, da ja an anderer Stelle devor gewarnt wird.
Woe dem auch sei, alles lief durch und jetzt läuft der Rechner auch gerade normal!
Der Prozess QtZgAcer.exe verursacht nun auch nur noch 0% CPU-Auslasung und kann wohl damit eh einfach gelassen werden.

ABER: Der Aktive Ad-Watch Live Scanner hat mich gerade gewarnt, dass der Prozess hanle.cfxxe versucht da einen Bereich (ich glaube es waren die Starteigenschaften oder so) zu ändern !!! Also, doch noch nicht alles gefixt?

Und: Soll ich dann diesen von dir als Schädling erkannten Eintrag:

O4 - HKCU\..\Run: [Sysbe] C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Adobe\Update\mormem.exe

per "Fix checked" im HijackThis ausschalten? Hier nochmal ein aktueller HijackThis Log:
------------------------------------------------------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:43:43, on 19.10.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Jessi\Desktop\HJT.exe
C:\Programme\Skype\Toolbars\Shared\SkypeNames2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Companion] "C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe" /systray /nologon
O4 - HKCU\..\Run: [Sysbe] C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Adobe\Update\mormem.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 8515 bytes
------------------------------------------------------------------------------------------------------------------------------------

Danke danke! Jetzt läuft der Rechner echt gut, hoffentlich bleibt das so, wenn ich Ihn heute Nacht ausschalte... Trau mich kaum!
Dieser Beitrag wurde am 19.10.2010 um 20:15 Uhr von mamboernst editiert.
Seitenanfang Seitenende
19.10.2010, 20:54
Member
Avatar Gool

Beiträge: 4730
#4

Zitat

mamboernst postete
Und: Soll ich dann diesen von dir als Schädling erkannten Eintrag:

O4 - HKCU\..\Run: [Sysbe] C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Adobe\Update\mormem.exe

per "Fix checked" im HijackThis ausschalten?
Ja. Schau auch bitte nach, ob es in dem Verzeichnis C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Adobe\Update\ noch mehr Dateien gibt. Am besten Du löschst das komplette Update-Verzeichnis. Vorher aber evtl. vorhandene .exe-Dateien noch bei Virustotal überprüfen lassen und hier das Ergebnis posten, damit wir hier überlegen können, ob es das war oder ob noch was zu tun ist.
Ich empfehle hier auch, den Adobe Reader auf die aktuelle Version 9.4.0 upzudaten.
Weiterhin solltest Du AdAware deinstallieren, falls Du es installiert hast. Da gleichzeitig noch Spybot S&D installiert ist, kann es zu Konflikten kommen. Außerdem verlangsamt der Wächter das System unnötig.

Combofix hat leider WinPCap gelöscht, obwohl das Programm legitim ist. Ich würde es einfach neu installieren.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
20.10.2010, 00:46
...neu hier

Themenstarter

Beiträge: 6
#5 In dem Verzeichnis war (zum Glück) nur die eine Datei. habe das gesammte Update-Verzeichnis gelöscht, mit Hijackthis den Eintrag gefixt und nochmal die Datei mormem.exe bei Virsutotal gecheckt. Hier die Ergebnisse:
---------------------------------------------------------------------------------------------------
Antivirus Version Last update Result

AhnLab-V3 2010.10.20.00 2010.10.19 -

AntiVir 7.10.12.252 2010.10.19 -

Antiy-AVL 2.0.3.7 2010.10.19 -

Authentium 5.2.0.5 2010.10.19 -

Avast 4.8.1351.0 2010.10.19 -

Avast5 5.0.594.0 2010.10.19 -

AVG 9.0.0.851 2010.10.19 Agent_r.XF

BitDefender 7.2 2010.10.19 -

CAT-QuickHeal 11.00 2010.10.19 -

ClamAV 0.96.2.0-git 2010.10.19 -

Comodo 6445 2010.10.19 Heur.Suspicious

DrWeb 5.0.2.03300 2010.10.19 Trojan.KillProc.2328

Emsisoft 5.0.0.50 2010.10.19 -

eSafe 7.0.17.0 2010.10.19 -

eTrust-Vet 36.1.7921 2010.10.19 -

F-Prot 4.6.2.117 2010.10.19 -

F-Secure 9.0.16160.0 2010.10.19 -

Fortinet 4.2.249.0 2010.10.19 -

GData 21 2010.10.19 -

Ikarus T3.1.1.90.0 2010.10.19 -

Jiangmin 13.0.900 2010.10.19 -

K7AntiVirus 9.66.2789 2010.10.19 -

Kaspersky 7.0.0.125 2010.10.19 -

McAfee 5.400.0.1158 2010.10.19 -

McAfee-GW-Edition 2010.1C 2010.10.19 -

Microsoft 1.6301 2010.10.19 -

NOD32 5546 2010.10.19 -

Norman 6.06.07 2010.10.19 -

nProtect 2010-10-19.01 2010.10.19 -

Panda 10.0.2.7 2010.10.19 -

PCTools 7.0.3.5 2010.10.19 -

Prevx 3.0 2010.10.19 Medium Risk Malware

Rising 22.70.01.04 2010.10.19 -

Sophos 4.58.0 2010.10.19 -

Sunbelt 7095 2010.10.19 -

SUPERAntiSpyware 4.40.0.1006 2010.10.19 -

Symantec 20101.2.0.161 2010.10.19 -

TheHacker 6.7.0.1.060 2010.10.19 -

TrendMicro 9.120.0.1004 2010.10.19 -

TrendMicro-HouseCall 9.120.0.1004 2010.10.19 -

VBA32 3.12.14.1 2010.10.19 -

ViRobot 2010.10.19.4101 2010.10.19 -

VirusBuster 12.69.7.0 2010.10.19 -

MD5: 246f7fad30bbd17e7bc3fec1ec2902bd

SHA1: fe6b1cf3cc7ca0dd38a7a040040579aebc141e88

SHA256: 2b909611518775dda5e414300ec0f092e7733b794c58063b4953163328493fb8

File size: 279552 bytes

Scan date: 2010-10-19 21:13:23 (UTC)


---------------------------------------------------------------------------------------------------
sieht das arg schlimm aus??? Ansonsten habe ich deine anderen Empfehlungen beherzigt und den Acrobat Reader aktualisiert, Ad-Aware deinstalliert und WinPCap neu installiert.

soooo, und dann werde ich auch mal den Rechner runterfahren und hoffen das morgen ein schöner Tag ohne Viren und Trojaner wird... melde mich natürlich dann sofort, mit hoffentlich positivem Feedback.
Gute Nacht allesamt!
Seitenanfang Seitenende
20.10.2010, 09:14
Member
Avatar Gool

Beiträge: 4730
#6 Dürfte nun eigentlich soweit in Ordnung sein. Bitte nochmal ein Log von OTL posten.
http://www.grabsteinschubser.de/it-security/oldtimer-otl/
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
20.10.2010, 15:37
...neu hier

Themenstarter

Beiträge: 6
#7 also, habe nun mitlerweile 3x neu gebootet und es scheint (fast) normal. Das einzige ist, dass nachdem Windows gestartet hat, ein typisches Windows Warnsignal ertönt. Glaube es ist das, was bspw. kommt, wenn eine Datei nicht gefunden wird oder wenn man der USB Stick noch nicht ausgeworfen werden kann... Beim ersten Boot, kam das sogar 3x kurz hintereinander, jetzt aber immer nur einmal. Immer ohne Fehlermeldung.

Naja, aber sonst läuft der Rechner normal schnell und alles scheint zu funktionieren!

Hier die Logs von OTL:


OTL logfile created on: 20.10.2010 15:24:46 - Run 1
OTL by OldTimer - Version 3.2.16.0 Folder = C:\Dokumente und Einstellungen\Jessi\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.014,00 Mb Total Physical Memory | 434,00 Mb Available Physical Memory | 43,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 44,37 Gb Total Space | 21,18 Gb Free Space | 47,74% Space Free | Partition Type: FAT32
Drive D: | 44,86 Gb Total Space | 14,60 Gb Free Space | 32,55% Space Free | Partition Type: FAT32

Computer Name: JESSICA | User Name: Jessi | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Dokumente und Einstellungen\Jessi\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe (Sony Ericsson Mobile Communications AB)
PRC - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Launch Manager\QtZgAcer.EXE (Dritek System Inc.)
PRC - C:\Acer\Empowering Technology\ePower\epm-dm.exe (Acer Inc)
PRC - C:\Acer\Empowering Technology\eRecovery\Monitor.exe (acer Inc.)
PRC - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
PRC - C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
PRC - C:\Acer\Empowering Technology\admtray.exe (Avocent Inc.)
PRC - C:\Acer\Empowering Technology\admServ.exe (Avocent Inc.)
PRC - C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe (HiTRUST)
PRC - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe ()
PRC - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe ()
PRC - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe (Cyberlink)
PRC - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe (Cyberlink)
PRC - C:\WINDOWS\system32\igfxext.exe (Intel Corporation)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Dokumente und Einstellungen\Jessi\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINDOWS\system32\framedyn.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\sysenv.dll (HiTRUST)
MOD - C:\WINDOWS\system32\MSNChatHook.dll ()
MOD - C:\WINDOWS\system32\MFC71u.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msvcr71.dll (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (ACDaemon) -- C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe File not found
SRV - (rpcapd) Remote Packet Capture Protocol v.0 (experimental) -- C:\Programme\WinPcap\rpcapd.exe (CACE Technologies, Inc.)
SRV - (aspnet_state) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe (Microsoft Corporation)
SRV - (WPFFontCache_v0400) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe (Microsoft Corporation)
SRV - (clr_optimization_v4.0.30319_32) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (NetTcpPortSharing) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation)
SRV - (AntiVirScheduler) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (Avira GmbH)
SRV - (S24EventMonitor) Intel(R) -- C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
SRV - (EvtEng) Intel(R) -- C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
SRV - (RegSrvc) Intel(R) -- C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
SRV - (AWService) -- C:\Acer\Empowering Technology\admServ.exe (Avocent Inc.)
SRV - (CLSched) CyberLink Task Scheduler (CTS) -- C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe ()
SRV - (CLCapSvc) CyberLink Background Capture Service (CBCS) -- C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe ()
SRV - (CyberLink Media Library Service) -- C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe (Cyberlink)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (wanatw) WAN Miniport (ATW) -- C:\WINDOWS\System32\DRIVERS\wanatw4.sys File not found
DRV - (Lavasoft Kernexplorer) -- C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys File not found
DRV - (catchme) -- C:\DOKUME~1\Jessi\LOKALE~1\Temp\catchme.sys File not found
DRV - (NPF) -- C:\WINDOWS\system32\drivers\npf.sys (CACE Technologies, Inc.)
DRV - (RTL2832U_IRHID) -- C:\WINDOWS\system32\drivers\RTL2832U_IRHID.sys (Realtek)
DRV - (RTL2832UUSB) -- C:\WINDOWS\system32\drivers\RTL2832UUSB.sys (REALTEK SEMICONDUCTOR Corp.)
DRV - (RTL2832UBDA) -- C:\WINDOWS\system32\drivers\RTL2832UBDA.sys (REALTEK SEMICONDUCTOR Corp.)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys (Avira GmbH)
DRV - (s1018mdm) -- C:\WINDOWS\system32\drivers\s1018mdm.sys (MCCI Corporation)
DRV - (s1018unic) Sony Ericsson Device 1018 USB Ethernet Emulation (WDM) -- C:\WINDOWS\system32\drivers\s1018unic.sys (MCCI Corporation)
DRV - (s1018mgmt) Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM) -- C:\WINDOWS\system32\drivers\s1018mgmt.sys (MCCI Corporation)
DRV - (s1018obex) -- C:\WINDOWS\system32\drivers\s1018obex.sys (MCCI Corporation)
DRV - (s1018bus) Sony Ericsson Device 1018 driver (WDM) -- C:\WINDOWS\system32\drivers\s1018bus.sys (MCCI Corporation)
DRV - (s1018nd5) Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS) -- C:\WINDOWS\system32\drivers\s1018nd5.sys (MCCI Corporation)
DRV - (s1018mdfl) -- C:\WINDOWS\system32\drivers\s1018mdfl.sys (MCCI Corporation)
DRV - (KMWDFILTER) -- C:\WINDOWS\system32\drivers\KMWDFILTER.sys (Windows (R) Codename Longhorn DDK provider)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (AVIRA GmbH)
DRV - (MPE) -- C:\WINDOWS\system32\drivers\MPE.sys (Microsoft Corporation)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\usbaudio.sys (Microsoft Corporation)
DRV - (amdagp) -- C:\WINDOWS\system32\DRIVERS\amdagp.sys (Advanced Micro Devices, Inc.)
DRV - (sisagp) -- C:\WINDOWS\system32\DRIVERS\sisagp.sys (Silicon Integrated Systems Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (LVUSBSta) -- C:\WINDOWS\system32\drivers\LVUSBSta.sys (Logitech Inc.)
DRV - (PID_PEPI) Logitech QuickCam IM(PID_PEPI) -- C:\WINDOWS\system32\drivers\LV302V32.SYS (Logitech Inc.)
DRV - (se44unic) Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM) -- C:\WINDOWS\system32\drivers\se44unic.sys (MCCI)
DRV - (se44obex) -- C:\WINDOWS\system32\drivers\se44obex.sys (MCCI)
DRV - (se44nd5) Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS) -- C:\WINDOWS\system32\drivers\se44nd5.sys (MCCI)
DRV - (se44mgmt) Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM) -- C:\WINDOWS\system32\drivers\se44mgmt.sys (MCCI)
DRV - (se44mdm) -- C:\WINDOWS\system32\drivers\se44mdm.sys (MCCI)
DRV - (se44mdfl) -- C:\WINDOWS\system32\drivers\se44mdfl.sys (MCCI)
DRV - (se44bus) Sony Ericsson Device 068 driver (WDM) -- C:\WINDOWS\system32\drivers\se44bus.sys (MCCI)
DRV - (Afc) -- C:\WINDOWS\system32\drivers\afc.sys (Arcsoft, Inc.)
DRV - (se59obex) -- C:\WINDOWS\system32\drivers\se59obex.sys (MCCI)
DRV - (se59bus) Sony Ericsson Device 089 driver (WDM) -- C:\WINDOWS\system32\drivers\se59bus.sys (MCCI)
DRV - (usbsermpt) -- C:\WINDOWS\system32\drivers\usbsermpt.sys (Microsoft Corporation)
DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (NTIDrvr) -- C:\WINDOWS\system32\drivers\NTIDrvr.sys (NewTech Infosystems, Inc.)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation)
DRV - (HSFHWAZL) -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys (Conexant Systems, Inc.)
DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.)
DRV - (OsaFsLoc) -- C:\WINDOWS\system32\drivers\OsaFsLoc.sys (OSA Technologies)
DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation )
DRV - (NdisFilt) -- C:\WINDOWS\system32\drivers\NdisFilt.sys (OSA Technologies)
DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation)
DRV - (osaio) -- C:\WINDOWS\system32\drivers\osaio.sys (OSA Technologies, An Avocent Company)
DRV - (NETMNT) -- C:\WINDOWS\system32\drivers\NETMNT.sys ()
DRV - (ElbyDelay) -- C:\WINDOWS\system32\drivers\ElbyDelay.sys (Elaborate Bytes AG)
DRV - (EpmShd) -- C:\WINDOWS\system32\drivers\epm-shd.sys (Acer Value Labs, USA)
DRV - (osanbm) -- C:\WINDOWS\system32\drivers\osanbm.sys (Windows (R) 2000 DDK provider)
DRV - (int15.sys) -- C:\Acer\Empowering Technology\eRecovery\int15.sys ()
DRV - (AR5211) -- C:\WINDOWS\system32\drivers\ar5211.sys (Atheros Communications, Inc.)
DRV - (DKbFltr) -- C:\WINDOWS\system32\drivers\DKbFltr.SYS (Dritek System Inc.)
DRV - (dac2w2k) -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys (Mylex Corporation)
DRV - (ql1280) -- C:\WINDOWS\system32\DRIVERS\ql1280.sys (QLogic Corporation)
DRV - (ql12160) -- C:\WINDOWS\system32\DRIVERS\ql12160.sys (QLogic Corporation)
DRV - (ql1080) -- C:\WINDOWS\system32\DRIVERS\ql1080.sys (QLogic Corporation)
DRV - (ultra) -- C:\WINDOWS\system32\DRIVERS\ultra.sys (Promise Technology, Inc.)
DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic)
DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic)
DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic)
DRV - (asc) -- C:\WINDOWS\system32\DRIVERS\asc.sys (Advanced System Products, Inc.)
DRV - (Sparrow) -- C:\WINDOWS\system32\DRIVERS\sparrow.sys (Adaptec, Inc.)
DRV - (mraid35x) -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys (American Megatrends Inc.)
DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.)
DRV - (asc3550) -- C:\WINDOWS\system32\DRIVERS\asc3550.sys (Advanced System Products, Inc.)
DRV - (CmdIde) -- C:\WINDOWS\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.)
DRV - (AliIde) -- C:\WINDOWS\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.)
DRV - (EpmPsd) -- C:\WINDOWS\system32\drivers\epm-psd.sys (Acer Value Labs, USA)
DRV - (ASPI) -- C:\WINDOWS\system32\drivers\ASPI32.SYS (Adaptec)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 32 1F 45 62 33 70 CB 01 [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198


FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Components: C:\Programme\Mozilla Firefox\components [2007.12.19 16:47:08 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2007.12.19 16:47:08 | 000,000,000 | ---D | M]

[2010.10.15 10:25:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Mozilla\Extensions
[2010.10.15 10:25:14 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2009.04.11 16:55:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Mozilla\Extensions-BackupByFirefoxPortable
[2010.09.29 16:06:38 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Mozilla\Extensions-BackupByFirefoxPortable\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2009.04.11 16:55:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Mozilla\Extensions-BackupByFirefoxPortable\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
[2007.12.19 16:47:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Mozilla\Firefox\Profiles\rtzu2fgx.default\extensions
[2010.09.07 17:26:40 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Mozilla\Firefox\Profiles\rtzu2fgx.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.09.07 15:48:24 | 000,000,557 | ---- | M] () -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Mozilla\Firefox\Profiles\rtzu2fgx.default\searchplugins\bing.xml
[2007.12.19 16:47:08 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.04.21 19:40:50 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2010.05.26 22:47:34 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.05.26 22:47:22 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.02.21 13:09:20 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.02.21 13:09:20 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.02.21 13:09:20 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.02.21 13:09:20 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.02.21 13:09:20 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010.10.20 01:01:14 | 000,421,702 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 14566 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - No CLSID value found.
O4 - HKLM..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe (Acer Value Labs, Taiwan)
O4 - HKLM..\Run: [ADMTray.exe] C:\Acer\Empowering Technology\admtray.exe (Avocent Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe (HiTRUST)
O4 - HKLM..\Run: [EPM-DM] c:\Acer\Empowering Technology\ePower\epm-dm.exe (Acer Inc)
O4 - HKLM..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe (acer Inc.)
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [LaunchApp] C:\WINDOWS\Alaunch.exe (Acer Inc.)
O4 - HKLM..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE (Dritek System Inc.)
O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [Sony Ericsson PC Companion] C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe (Sony Ericsson Mobile Communications AB)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: &Sample Toolband Serach - C:\WINDOWS\System32\ToolBand.dll (HiTRUST)
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Jessi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper3.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Jessi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper3.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.01.04 15:36:42 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.10.20 15:22:41 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Jessi\Desktop\OTL.exe
[2010.10.20 00:41:09 | 000,000,000 | ---D | C] -- C:\Programme\WinPcap
[2010.10.20 00:39:50 | 000,915,920 | ---- | C] (CACE Technologies, Inc.) -- C:\Dokumente und Einstellungen\Jessi\Desktop\WinPcap_4_1_2.exe
[2010.10.20 00:28:17 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.10.20 00:19:07 | 000,000,000 | -HSD | C] -- C:\Recycled
[2010.10.20 00:18:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jessi\Desktop\backups
[2010.10.19 18:57:50 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.10.19 18:57:50 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.10.19 18:57:50 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.10.19 18:57:50 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.10.19 18:57:27 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.10.19 18:56:05 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.10.19 16:39:22 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Jessi\Desktop\HJT.exe
[2010.10.17 13:15:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Malwarebytes
[2010.10.17 13:13:57 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.10.17 13:13:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.10.17 13:12:05 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.10.17 13:12:05 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.10.17 13:11:05 | 006,153,352 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Jessi\Desktop\mbam146-setup.exe
[2010.10.16 05:28:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jessi\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
[2010.10.16 05:20:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
[2010.10.15 16:48:22 | 133,070,376 | ---- | C] (Lavasoft ) -- C:\Dokumente und Einstellungen\Jessi\Desktop\Ad-Aware833Install.exe
[2010.10.15 13:43:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Helper
[2010.10.13 19:46:28 | 000,974,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc42.dll
[2010.10.13 19:46:28 | 000,953,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc40u.dll
[2010.10.13 19:46:12 | 000,617,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\comctl32.dll
[2010.10.12 00:19:23 | 000,000,000 | ---D | C] -- D:\Dokumente\gegl-0.0
[2010.10.08 13:30:23 | 000,106,208 | ---- | C] (MCCI Corporation) -- C:\WINDOWS\System32\drivers\s1018mgmt.sys
[2010.10.08 13:30:22 | 000,104,744 | ---- | C] (MCCI Corporation) -- C:\WINDOWS\System32\drivers\s1018obex.sys
[2010.10.08 13:30:21 | 000,026,024 | ---- | C] (MCCI Corporation) -- C:\WINDOWS\System32\drivers\s1018nd5.sys
[2010.10.08 13:30:20 | 000,114,728 | ---- | C] (MCCI Corporation) -- C:\WINDOWS\System32\drivers\s1018mdm.sys
[2010.10.08 13:30:20 | 000,015,016 | ---- | C] (MCCI Corporation) -- C:\WINDOWS\System32\drivers\s1018mdfl.sys
[2010.10.08 13:30:20 | 000,012,200 | ---- | C] (MCCI Corporation) -- C:\WINDOWS\System32\drivers\s1018cmnt.sys
[2010.10.08 13:30:20 | 000,012,200 | ---- | C] (MCCI Corporation) -- C:\WINDOWS\System32\drivers\s1018cm.sys
[2010.10.08 13:30:19 | 000,086,824 | ---- | C] (MCCI Corporation) -- C:\WINDOWS\System32\drivers\s1018bus.sys
[2010.10.08 13:30:19 | 000,012,200 | ---- | C] (MCCI Corporation) -- C:\WINDOWS\System32\drivers\s1018whnt.sys
[2010.10.08 13:30:19 | 000,012,200 | ---- | C] (MCCI Corporation) -- C:\WINDOWS\System32\drivers\s1018wh.sys
[2010.10.08 13:30:18 | 000,109,864 | ---- | C] (MCCI Corporation) -- C:\WINDOWS\System32\drivers\s1018unic.sys
[2010.10.08 13:30:18 | 000,010,792 | ---- | C] (MCCI Corporation) -- C:\WINDOWS\System32\drivers\s1018cr.sys
[2010.09.29 16:06:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Thunderbird
[2004.11.24 21:25:52 | 000,335,872 | ---- | C] ( ) -- C:\WINDOWS\System32\drvc.dll
[7 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
[42 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.10.20 15:22:44 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Jessi\Desktop\OTL.exe
[2010.10.20 15:20:36 | 000,000,451 | ---- | M] () -- C:\WINDOWS\System32\eRLog.ini
[2010.10.20 15:20:22 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.20 15:19:38 | 1063,374,848 | -HS- | M] () -- C:\hiberfil.sys
[2010.10.20 15:19:38 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.20 11:02:24 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{0994F201-A32F-46A8-97D0-5CEC8A4EE380}.job
[2010.10.20 00:41:12 | 000,000,064 | ---- | M] () -- C:\WINDOWS\System32\-1
[2010.10.20 00:39:56 | 000,915,920 | ---- | M] (CACE Technologies, Inc.) -- C:\Dokumente und Einstellungen\Jessi\Desktop\WinPcap_4_1_2.exe
[2010.10.19 19:28:08 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.10.19 18:53:22 | 003,880,681 | R--- | M] () -- C:\Dokumente und Einstellungen\Jessi\Desktop\ComboFix.exe
[2010.10.19 16:39:16 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Jessi\Desktop\HJT.exe
[2010.10.19 15:41:24 | 000,001,156 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-108897019-3929902183-4124300286-1006Core.job
[2010.10.19 08:11:14 | 000,294,912 | ---- | M] () -- C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe
[2010.10.17 15:06:34 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.10.17 13:14:08 | 000,000,586 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.17 13:11:22 | 006,153,352 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Jessi\Desktop\mbam146-setup.exe
[2010.10.15 17:02:58 | 133,070,376 | ---- | M] (Lavasoft ) -- C:\Dokumente und Einstellungen\Jessi\Desktop\Ad-Aware833Install.exe
[2010.10.14 19:06:16 | 000,131,072 | ---- | M] () -- C:\Dokumente und Einstellungen\Jessi\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.10.14 19:06:14 | 000,000,038 | ---- | M] () -- C:\WINDOWS\AviSplitter.INI
[2010.10.14 09:27:22 | 000,265,416 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.10.14 02:36:16 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.10.08 13:30:18 | 000,001,779 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Sony Ericsson PC Companion 1.5.lnk
[2010.10.06 19:22:24 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2010.10.05 19:04:12 | 000,275,456 | ---- | M] () -- C:\Dokumente und Einstellungen\Jessi\Desktop\Weltweit Waldi.doc
[2010.10.05 08:06:52 | 000,532,198 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.10.05 08:06:52 | 000,506,402 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.10.05 08:06:52 | 000,106,992 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.10.05 08:06:52 | 000,089,196 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.09.25 14:37:26 | 000,002,274 | ---- | M] () -- C:\Dokumente und Einstellungen\Jessi\Desktop\Google Chrome.lnk
[7 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
[42 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.10.20 00:41:10 | 000,000,064 | ---- | C] () -- C:\WINDOWS\System32\-1
[2010.10.19 18:57:50 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.10.19 18:57:50 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.10.19 18:57:50 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.10.19 18:57:50 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.10.19 18:57:50 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.10.19 18:51:09 | 003,880,681 | R--- | C] () -- C:\Dokumente und Einstellungen\Jessi\Desktop\ComboFix.exe
[2010.10.19 08:11:14 | 000,294,912 | ---- | C] () -- C:\Dokumente und Einstellungen\Jessi\Desktop\4htd0h8q.exe
[2010.10.17 13:14:06 | 000,000,586 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.16 05:31:01 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.10.14 19:05:59 | 000,000,038 | ---- | C] () -- C:\WINDOWS\AviSplitter.INI
[2010.10.08 13:30:17 | 000,001,779 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Sony Ericsson PC Companion 1.5.lnk
[2010.09.06 13:11:45 | 000,000,002 | ---- | C] () -- C:\WINDOWS\msoffice.ini
[2010.06.25 19:03:12 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll
[2009.12.22 11:53:32 | 000,127,085 | ---- | C] () -- C:\WINDOWS\System32\RTKFMSOURCE.dll
[2009.11.30 20:05:05 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll
[2009.04.06 19:45:09 | 000,120,127 | ---- | C] () -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\mdbu.bin
[2009.04.02 17:36:55 | 000,106,496 | R--- | C] () -- C:\WINDOWS\System32\vshp1020.dll
[2008.12.19 17:15:58 | 004,338,246 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2008.12.17 19:41:18 | 000,884,237 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll
[2008.12.17 19:22:58 | 000,093,184 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll
[2008.12.17 19:22:48 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008.12.17 19:17:34 | 000,239,247 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll
[2008.12.17 18:59:54 | 000,560,802 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll
[2007.05.13 18:13:53 | 000,000,033 | ---- | C] () -- C:\WINDOWS\Multimedia manager.INI
[2007.05.13 17:21:44 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LauncherAccess.dt
[2007.05.13 17:18:02 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2007.05.09 20:35:54 | 000,057,126 | ---- | C] () -- C:\WINDOWS\System32\lvcoinst.ini
[2007.04.06 14:56:43 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2006.10.10 20:26:57 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2006.08.10 09:19:36 | 000,034,308 | ---- | C] () -- C:\WINDOWS\System32\BASSMOD.dll
[2006.08.07 15:07:21 | 000,131,072 | ---- | C] () -- C:\Dokumente und Einstellungen\Jessi\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006.08.07 15:05:53 | 000,000,125 | -HS- | C] () -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\.zreglib
[2006.08.03 08:15:53 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.08.02 00:22:34 | 000,000,451 | ---- | C] () -- C:\WINDOWS\System32\eRLog.ini
[2006.08.02 00:14:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NT.INI
[2006.08.02 00:12:44 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\APISlice.dll
[2006.08.02 00:12:44 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\SC_res.dll
[2006.08.02 00:12:44 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\EN_res.dll
[2006.08.02 00:12:44 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\TC_res.dll
[2006.08.02 00:12:44 | 000,010,752 | ---- | C] () -- C:\WINDOWS\System32\MSNChatHook.dll
[2006.08.02 00:11:24 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Jessi\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.08.01 17:33:26 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2006.01.04 16:25:44 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.01.04 15:37:04 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIBUN4.dll
[2006.01.04 15:36:18 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIMPEG2.dll
[2006.01.04 15:36:18 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIMP3.dll
[2006.01.04 15:36:18 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIFCD3.dll
[2006.01.04 15:36:18 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTICDMK7.dll
[2006.01.04 15:08:42 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.12.14 20:59:52 | 000,000,038 | ---- | C] () -- C:\WINDOWS\Acer.ini
[2005.12.01 00:24:56 | 000,037,706 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2005.10.31 03:17:38 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2005.08.09 20:34:56 | 000,002,772 | ---- | C] () -- C:\WINDOWS\AntiV.INI
[2005.05.02 12:13:42 | 000,009,600 | ---- | C] () -- C:\WINDOWS\System32\drivers\NETMNT.sys
[2005.03.28 00:45:26 | 000,000,093 | ---- | C] () -- C:\WINDOWS\alaunch.ini
[2004.10.03 19:50:54 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\ff_mpeg2enc.dll
[2004.08.04 05:00:00 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2003.12.29 20:45:08 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ServiceControl.dll
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2001.12.26 15:12:30 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\multiplex_vcd.dll
[2001.09.03 22:46:38 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\Hmpg12.dll
[2001.07.30 15:33:56 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\HMPV2_ENC.dll
[2001.07.23 21:04:36 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\HMPV2_ENC_MMX.dll

[color=#E56717]========== LOP Check ==========[/color]

[2006.08.02 00:18:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acer
[2006.08.01 18:08:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
[2007.04.06 12:43:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
[2009.04.06 17:56:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fotokasten comfort - Tchibo Edition
[2006.08.02 00:18:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Acer
[2006.08.02 14:58:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\SmartSurfer
[2006.08.02 14:58:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\WEBDE
[2006.08.07 15:29:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\SlySoft
[2007.01.28 21:38:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\ICQLite
[2007.04.06 12:51:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Teleca
[2007.04.14 13:50:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Leadertech
[2007.05.13 17:22:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Samsung
[2007.05.13 18:12:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Temporary
[2007.05.13 18:12:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\TransRender
[2007.05.13 18:12:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\ConvertTemp
[2010.09.06 13:24:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\MSNInstaller
[2010.09.06 14:24:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Auslogics
[2010.09.29 16:06:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jessi\Anwendungsdaten\Thunderbird
[2010.10.20 11:02:24 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{0994F201-A32F-46A8-97D0-5CEC8A4EE380}.job
[2010.10.19 19:28:08 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job

[color=#E56717]========== Purity Check ==========[/color]



< End of report >


und die Extras.Txt:
---------------------------------------------------------------------------------------------------------------------------

OTL Extras logfile created on: 20.10.2010 15:24:46 - Run 1
OTL by OldTimer - Version 3.2.16.0 Folder = C:\Dokumente und Einstellungen\Jessi\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.014,00 Mb Total Physical Memory | 434,00 Mb Available Physical Memory | 43,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 44,37 Gb Total Space | 21,18 Gb Free Space | 47,74% Space Free | Partition Type: FAT32
Drive D: | 44,86 Gb Total Space | 14,60 Gb Free Space | 32,55% Space Free | Partition Type: FAT32

Computer Name: JESSICA | User Name: Jessi | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.jse [@ = JSEFile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
.wsf [@ = WSFFile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
jsefile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
wsffile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[color=#E56717]========== System Restore Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

[color=#E56717]========== Firewall Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet;)isabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet;)isabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet;)isabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet;)isabled:@xpsp2res.dll,-22002
"5985:TCP" = 5985:TCP:*;)isabled:Windows-Remoteverwaltung

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe" = C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe:*:Enabled:AOL -- File not found
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe" = C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe:*:Enabled:AOL -- File not found
"C:\Programme\AOL 9.0\waol.exe" = C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL 9.0 -- File not found

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Acer\Acer Arcade\PCMService.exe" = C:\Program Files\Acer\Acer Arcade\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program -- (CyberLink Corp.)


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{15B70821-7893-4607-805A-BB80F3EA8279}" = Acer Empowering Technology framework
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = Acer Arcade
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4BDFD2CE-6329-42E4-9801-9B3D1F10D79B}" = Adobe® Photoshop® Album Starter Edition 3.0
"{58E5844B-7CE2-413D-83D1-99294BF6C74F}" = Acer ePower Management
"{5EFDFC8B-D438-4792-A298-E87AA9ADA816}" = Acer eDataSecurity Management
"{6CA897D0-67F5-4F75-8261-DC8BFCA6DA42}" = Acer eLock Management
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver for Mobile
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.0 - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{C06554A1-2C1E-4D20-B613-EE62C79927CC}" = Acer eNet Management
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D458BBDC-0363-42E0-8FF9-4736E3CB3CA2}" = Acer Screensaver
"{DDBB7C89-1A09-441E-AA0F-6AA465755C17}" = REALTEK DTV USB DEVICE
"{DEE08946-40F0-4890-853E-60A6C3306041}" = Acer ePerformance Management
"{E38BC648-883B-4EE5-966C-94C4B7AB3E0B}" = Acer eSettings Management
"{E431C518-2EE2-471E-9234-BE995C36D513}" = Acer eDataSecurity Management 1.00.23
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E81667C6-2856-46D6-ABEA-6A2F42166779}" = mCore
"{F09EF8F2-0976-42C1-8D9D-8DF78337C6E3}" = Sony Ericsson PC Companion 1.50.52
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FC906D5C-91F9-4DA4-A765-6DCBB669F317}" = Sony Ericsson PC Suite
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AntiVir PersonalEdition Classic" = Avira AntiVir Personal - Free Antivirus
"CNXT_MODEM_HDAUDIO_AcrS009E" = HDAUDIO Soft Data Fax Modem with SmartCP
"ePresentation" = Acer ePresentation Management
"GridVista" = Acer GridVista
"HP-LaserJet 1020 series" = LaserJet 1020 series
"ie8" = Windows Internet Explorer 8
"InstallShield_{15B70821-7893-4607-805A-BB80F3EA8279}" = Acer Empowering Technology framework
"InstallShield_{6CA897D0-67F5-4F75-8261-DC8BFCA6DA42}" = Acer eLock Management
"InstallShield_{DEE08946-40F0-4890-853E-60A6C3306041}" = Acer ePerformance Management
"InstallShield_{E38BC648-883B-4EE5-966C-94C4B7AB3E0B}" = Acer eSettings Management
"LManager" = Launch Manager
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack
"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"Picasa 3" = Picasa 3
"ProInst" = Intel(R) PROSet/Wireless Software
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinPcapInst" = WinPcap 4.1.2
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XP Codec Pack" = XP Codec Pack
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 05.10.2010 03:06:32 | Computer Name = JESSICA | Source = .NET Runtime Optimization Service | ID = 1103
Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32)
- Tried to start a service that wasn't the latest version of CLR Optimization service.
Will shutdown

Error - 10.10.2010 05:02:32 | Computer Name = JESSICA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3909, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 10.10.2010 05:02:47 | Computer Name = JESSICA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung plugin-container.exe, Version 1.9.2.3909,
fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x0000100b.

Error - 13.10.2010 10:35:38 | Computer Name = JESSICA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3909, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 13.10.2010 10:35:57 | Computer Name = JESSICA | Source = Application Hang | ID = 1001
Description = Fehlerhafter Speicherbereich 2030082541.

Error - 15.10.2010 15:22:54 | Computer Name = JESSICA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 15.10.2010 23:26:24 | Computer Name = JESSICA | Source = Lavasoft Ad-Aware Service | ID = 0
Description =

Error - 16.10.2010 11:58:24 | Computer Name = JESSICA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 17.10.2010 08:37:15 | Computer Name = JESSICA | Source = Google Update | ID = 20
Description =

Error - 17.10.2010 08:48:02 | Computer Name = JESSICA | Source = Google Update | ID = 20
Description =

[ System Events ]
Error - 19.10.2010 18:40:26 | Computer Name = JESSICA | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126

Error - 19.10.2010 18:40:27 | Computer Name = JESSICA | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126

Error - 19.10.2010 18:40:27 | Computer Name = JESSICA | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126

Error - 19.10.2010 18:40:27 | Computer Name = JESSICA | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126

Error - 19.10.2010 18:40:27 | Computer Name = JESSICA | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126

Error - 19.10.2010 18:40:27 | Computer Name = JESSICA | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126

Error - 19.10.2010 18:40:27 | Computer Name = JESSICA | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126

Error - 19.10.2010 18:40:27 | Computer Name = JESSICA | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126

Error - 19.10.2010 18:40:27 | Computer Name = JESSICA | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126

Error - 19.10.2010 18:40:27 | Computer Name = JESSICA | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126


< End of report >
Seitenanfang Seitenende
20.10.2010, 17:38
Member
Avatar Gool

Beiträge: 4730
#8 Sieht soweit gut aus. Kritisch könnte einzig noch dies sein:
DRV - (catchme) -- C:\DOKUME~1\Jessi\LOKALE~1\Temp\catchme.sys File not found

Allerdings wird die catchme.sys auch von legitimen Programmen verwendet. Und da die hier nicht mehr vorhanden ist, können wir das sowieso nicht mehr überprüfen. Du kannst das aber entfernen, indem Du in den Gerätemanager gehst, dort bei "Anzsicht" Dir auch die ausgeblendeten Geräte anzeigen lässt und dann bei den Nicht-PnP-Treibern den Eintrag catchme entfernst (Rechtsklick -> Deinstallieren).

Combofix solltest Du noch mit "combofix /U" deinstallieren.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
20.10.2010, 19:27
...neu hier

Themenstarter

Beiträge: 6
#9 ok, catchme hab ich entfernt aber Combofix /U hat lediglch das Programm gestartet und sogar schon angefangen, dass System neu zu scannen, wobei ich das dann mal abgebrochen hab.
Soll ich einfach wie unter http://www.grabsteinschubser.de/it-security/combofix/ beschrieben, dann nur das Verzeichnis C:\QooBox löschen und das reicht dann?

Achso, der WarnPieps ist übriegens trotz dem deenstalierten Catchme noch zu hören, falls du noch eine Idee hast, immer gerne, ansonsten auch egal!

Also, VIELEN VIELEN DANK für die schnelle, kompetente und erfolgreiche Hilfe!!!! Hier läuft alles wie geschmiert und was ist schon nen Wanrpieps, wenn ich schon geschwitzt habe, meiner Mitbewohnerin beichten zu müssen, dass ich leider ihren Laptop formatieren musste... ;)

Und eine Frage noch: wie lernt man selber soviel zu wissen wie du, um die Prozesse beurteilen zu können und das richtige Program emfehlen zu können? Vielleicht kann ich dann ja auch irgendwann mal Menschen hier oder in meinem Umfeld etwas besser helfen.
Seitenanfang Seitenende
20.10.2010, 19:46
Member
Avatar Gool

Beiträge: 4730
#10 Lasse mal nen RegCleaner drüber laufen. Die besten Erfahrungen habe ich mit dem CCleaner gemacht. So viele Durchläufe machen lassen, bis keine Fehler mehr gefunden werden (in der Regel sind das drei bis vier Scans).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
21.10.2010, 12:07
...neu hier

Themenstarter

Beiträge: 6
#11 ok, ccleaner hat da einige Sachen (so um die 500!) gefunden und gefixt. Combofix konnte ich mit combofix /uninstall dann schließlich doch deinstallieren (combofix /U startete bei mir nur das Programm!). Naja, das Warnsignal beim Windowsstart ist immer noch da aber ehrlich, ich glaube damit lässt sich leben.

Danke nochmals,
Ernst
Seitenanfang Seitenende
21.10.2010, 12:19
Member
Avatar Gool

Beiträge: 4730
#12 Dann sollte ich mal den Text ändern - früher ging es mit "combofix /U", offenbar wurde das geändert.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende