Internet Explorer startet in regelmäßigen Abständen automatisch

#16 Schildere mir dieses Problem nochmals genau.

#17 ...zum runtefahren des rechners muss ich zweimal start/ausschalten betätigen (das war aber auch bereits seit der infektion so) und
beim hochfahren lädt er noch die Biosdaten, dann sind die Laufwerke ersichtlich (in dieser DOS-Ansicht) und bleibt dann mit blinkendem cursor auf einer sonst schwarzen seite stehen -> dies ist neu.

nach nochmaligem aus- und wieder einschalten fährt er dann hoch - hierbei hängt er aber auch eine weile an dem benannten blinkendem cursor.

#18 ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte
während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking
und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button drücken.Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
• IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde

• Klicke Finish.• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

#19 ..das log vom eset-scan:

Code

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6415
# api_version=3.0.2
# EOSSerial=edd470b072a2fd4989259457b8f2dd07
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-12-15 02:24:40
# local_time=2010-12-15 03:24:40 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 254577 254577 0 0
# compatibility_mode=1797 16775141 100 93 148250 28954579 246362 0
# compatibility_mode=8192 67108863 100 0 3791 3791 0 0
# scanned=82709
# found=2
# cleaned=2
# scan_time=5324
C:\Postinstall\install.exe    probably a variant of Win32/Agent.JJQXECT trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
C:\System Volume Information\_restore{2512BDAD-4F44-4147-93AA-6AFF792DE719}\RP412\A0193786.exe    probably a variant of Win32/Agent.JJQXECT trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C

#20 Schritt 1

Systempartition mit chkdsk überprüfen und reparieren[/COLOR]

• 1. Klicke auf Start => Ausführen
• 2. Tippe ein cmd und bestätige mit ok, die Konsole öffnet sich.
Bei Vista:
Im Suchfeld cmd eingeben, STRG+Shift-Tasten gedrückt halten und Enter drücken
- dadurch wird die Kommandozeile im Admin-Modus gestartet.
• 3. Tippe dort ein: chkdsk %systemdrive% /f /r /v und bestätige mit Enter.
• 4. Die folgende Abfrage mit j bestätigen und Enter drücken.
• 5. Windows neu starten,
es sollte ein Hinweis auf eine geplante Datenträgerüberprüfung erscheinen
- die Zeit verstreichen lassen, keine Taste drücken!! -
• 6. Abwarten bis der Vorgang abgeschlossen ist.
Bei großen Partitionen kann es u. U. recht lange dauern.
Windows bootet automatisch neu.
In der Ereignisanzeige (Start => ausführen => eventvwr.msc (reinschreiben) =>
OK) müsstest Du einen Eintrag mit Quelle Winlogon sehen (evtl. auch mehrere), die Dir eine
Zusammenfassung von chkdsk geben. Schau nach Fehlern
bzw. fehlerhaften Blöcken und - sofern diese vorhanden sind - poste diese.


Schritt 2

Fehler in Windows beseitigen

Lade Dial-a-Fix herunter und entpacke das Programm in einen eigenen Ordner auf Deinem Desktop.• Öffne den Dial-a-Fix-Ordner und starte die dial-a-fix.exe durch Doppelklick.
• Klicke unten auf den Button Policies....
• Wenn etwas gefunden wird, klicke in dem neuen Fenster auf Remove und schließe das Fenster wieder.
• Klicke nun unten auf den Button mit dem grünen Doppelhaken (Check all).
• Klicke auf Go zum Starten.
• Dial-a-fix arbeitet nun einige Aufgaben ab, warte bis es komplett fertig ist (Ready).• Wenn Dia-a-Fix fertig ist, klicke auf das Log-Symbol (rechts neben dem Hammer),
klicke auf Save und speichere das Log als Dial-a-fix.log auf dem Desktop.
• Poste das Log hier in den Thread.
• Klicke auf Exit und starte den Rechner neu.

#21 ..checkdisc hat scheinbar keinen Fehler gefunden:

Code

Dateisystem auf C: wird überprüft.
Der Typ des Dateisystems ist NTFS.
Die Volumebezeichnung lautet Lokaler Datenträger.

Eine Datenträgerüberprüfung ist geplant.
Die Datenträgerüberprüfung wird jetzt ausgeführt.                                         
250 nicht verwendete Indexeinträge aus Index $SII der Datei 0x9 werden aufgeräumt.
250 nicht verwendete Indexeinträge aus Index $SDH der Datei 0x9 werden aufgeräumt.
250 nicht verwendete Sicherheitsbeschreibungen werden aufgeräumt.
CHKDSK überprüft Dateidaten (Phase 4 von 5)...
Dateidatenüberprüfung beendet.
CHKDSK überprüft freien Speicherplatz (Phase 5 von 5)...
Verifizierung freien Speicherplatzes ist beendet.

  40194598 KB Speicherplatz auf dem Datenträger insgesamt
  33059884 KB in 74493 Dateien
     31156 KB in 6751 Indizes
         0 KB in fehlerhaften Sektoren
    198706 KB vom System benutzt
     65536 KB von der Protokolldatei belegt
   6904852 KB auf dem Datenträger verfügbar

      4096 Bytes in jeder Zuordnungseinheit
  10048649 Zuordnungseinheiten auf dem Datenträger insgesamt
   1726213 Zuordnungseinheiten auf dem Datenträger verfügbar

Interne Informationen:
00 01 02 00 66 3d 01 00 b6 ed 01 00 00 00 00 00  ....f=..........
6f 01 00 00 02 00 00 00 49 02 00 00 00 00 00 00  o.......I.......
52 3a 66 03 00 00 00 00 32 86 56 32 00 00 00 00  R:f.....2.V2....
9a 07 b1 02 00 00 00 00 48 78 62 d4 03 00 00 00  ........Hxb.....
30 40 52 97 00 00 00 00 14 0d 94 a5 04 00 00 00  0@R.............
99 9e 36 00 00 00 00 00 a0 37 07 00 fd 22 01 00  ..6......7..."..
00 00 00 00 00 b0 d0 e1 07 00 00 00 5f 1a 00 00  ............_...

Die Überprüfung des Datenträgers wurde abgeschlossen.
Bitte warten Sie bis der Computer neu gestartet wurde.


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

als nächstes mache ich den "Dial-a-Fix"....
Gruß Mitch

#22 ..und nun das *.log vom dial-a-fix:

Code

Notes about this log:
1) "->" denotes an external command being executed, and "-> (number)" indicates
     the return code from the previous command
2) Not all external command return codes are accurate, or useful
3) Sometimes commands return 0 (no error) even when they fail or crash
4) If an error occurs while registering an object, please send an email to:
     dial-a-fix@DjLizard.net and include a copy of this log

DAF version: v0.60.0.24

--- System info ---
OS: Microsoft Windows XP Service Pack 2
IE version: 7.0.5730.13
MPC: 55375-648
CPU: AMD Athlon(tm) XP 2400+ (~2000MHz)
BIOS: 13.12.2002
Memory (approx): 1247MB
Uptime: 0 hour(s) 
Current directory: C:\Dokumente und Einstellungen\Mitsch\Desktop\Dial-a-fix-v0.60.0.24\Dial-a-fix-v0.60.0.24
---

16.12.2010 14:34:02 -- Dial-a-fix : [v0.60.0.24] -- started
14:34:02 | Policy scan started
14:34:02 | Policy scan ended - no restrictive policies were found
--- Emptying temp folders ---
14:35:12 | Deleting C:\Dokumente und Einstellungen\Mitsch\Lokale Einstellungen\Temp...
14:35:13 | C:\Dokumente und Einstellungen\Mitsch\Lokale Einstellungen\Temp could not be completely emptied, please reboot and try again
14:35:13 | Deleting C:\WINXP\temp...
14:35:13 | C:\WINXP\temp could not be completely emptied, please reboot and try again
14:35:13 | Deleting C:\DOKUME~1\Mitsch\LOKALE~1\Temp...
14:35:13 | C:\DOKUME~1\Mitsch\LOKALE~1\Temp could not be completely emptied, please reboot and try again
--- MSI ---
14:35:32 | Registered: C:\WINXP\system32\msi.dll
--- Windows Update ---
--- Registration: Windows Update/Automatic Update DLLs ---
14:35:38 | Unregistered: C:\WINXP\system32\msxml.dll
14:35:38 | Registered: C:\WINXP\system32\msxml.dll
14:35:39 | Unregistered: C:\WINXP\system32\msxml2.dll
14:35:39 | Registered: C:\WINXP\system32\msxml2.dll
14:35:44 | Unregistered: C:\WINXP\system32\msxml3.dll
14:35:45 | Registered: C:\WINXP\system32\msxml3.dll
14:35:45 | Unregistered: C:\WINXP\system32\msxml4.dll
14:35:45 | Registered: C:\WINXP\system32\msxml4.dll
14:35:45 | Unregistered: C:\WINXP\system32\qmgr.dll
14:35:45 | Registered: C:\WINXP\system32\qmgr.dll
14:35:45 | Unregistered: C:\WINXP\system32\qmgrprxy.dll
14:35:45 | Registered: C:\WINXP\system32\qmgrprxy.dll
14:35:45 | Unregistered: C:\WINXP\system32\winhttp.dll
14:35:45 | Registered: C:\WINXP\system32\winhttp.dll
14:35:46 | Registered: C:\WINXP\system32\wuapi.dll
14:35:46 | Unregistered: C:\WINXP\system32\wuaueng.dll
14:35:47 | Registered: C:\WINXP\system32\wuaueng.dll
14:35:47 | Unregistered: C:\WINXP\system32\wuaueng1.dll
14:35:48 | Registered: C:\WINXP\system32\wuaueng1.dll
14:35:48 | Unregistered: C:\WINXP\system32\wucltui.dll
14:35:48 | Registered: C:\WINXP\system32\wucltui.dll
14:35:48 | Unregistered: C:\WINXP\system32\wups.dll
14:35:48 | Registered: C:\WINXP\system32\wups.dll
14:35:48 | Unregistered: C:\WINXP\system32\wups2.dll
14:35:48 | Registered: C:\WINXP\system32\wups2.dll
14:35:48 | Unregistered: C:\WINXP\system32\wuweb.dll
14:35:48 | Registered: C:\WINXP\system32\wuweb.dll
14:35:48 | Registered: C:\WINXP\system32\ole32.dll
--- SSL/HTTPS/Cryptography ---
14:35:56 | Executed 'cmd.exe /c rmdir /q /s C:\WINXP\system32\Catroot2'
--- Registration: SSL/HTTPS/Cryptography ---
14:36:00 | Unregistered: C:\WINXP\system32\cryptdlg.dll
14:36:00 | Registered: C:\WINXP\system32\cryptdlg.dll
14:36:00 | Unregistered: C:\WINXP\system32\cryptui.dll
14:36:00 | Registered: C:\WINXP\system32\cryptui.dll
14:36:00 | Unregistered: C:\WINXP\system32\cryptext.dll
14:36:00 | Registered: C:\WINXP\system32\cryptext.dll
14:36:01 | Unregistered: C:\WINXP\system32\dssenh.dll
14:36:01 | Registered: C:\WINXP\system32\dssenh.dll
14:36:01 | Unregistered: C:\WINXP\system32\gpkcsp.dll
14:36:01 | Registered: C:\WINXP\system32\gpkcsp.dll
14:36:01 | Unregistered: C:\WINXP\system32\initpki.dll
14:36:54 | Registered: C:\WINXP\system32\initpki.dll
14:36:54 | Unregistered: C:\WINXP\system32\licdll.dll
14:36:54 | Registered: C:\WINXP\system32\licdll.dll
14:36:54 | Unregistered: C:\WINXP\system32\mssign32.dll
14:36:54 | Registered: C:\WINXP\system32\mssign32.dll
14:36:54 | Unregistered: C:\WINXP\system32\mssip32.dll
14:36:54 | Registered: C:\WINXP\system32\mssip32.dll
14:36:55 | Unregistered: C:\WINXP\system32\scardssp.dll
14:36:55 | Registered: C:\WINXP\system32\scardssp.dll
14:36:55 | Unregistered: C:\WINXP\system32\sccbase.dll
14:36:55 | Registered: C:\WINXP\system32\sccbase.dll
14:36:55 | Unregistered: C:\WINXP\system32\scecli.dll
14:36:56 | Registered: C:\WINXP\system32\scecli.dll
14:36:56 | Unregistered: C:\WINXP\system32\softpub.dll
14:36:56 | Registered: C:\WINXP\system32\softpub.dll
14:36:56 | Unregistered: C:\WINXP\system32\slbcsp.dll
14:36:56 | Registered: C:\WINXP\system32\slbcsp.dll
14:36:57 | Unregistered: C:\WINXP\system32\regwizc.dll
14:36:57 | Registered: C:\WINXP\system32\regwizc.dll
14:36:57 | Unregistered: C:\WINXP\system32\rsaenh.dll
14:36:57 | Registered: C:\WINXP\system32\rsaenh.dll
14:36:57 | Unregistered: C:\WINXP\system32\winhttp.dll
14:36:57 | Registered: C:\WINXP\system32\winhttp.dll
14:36:57 | Unregistered: C:\WINXP\system32\wintrust.dll
14:36:57 | Registered: C:\WINXP\system32\wintrust.dll
--- Registration: ActiveX controls/codecs ---
14:36:58 | Registered: C:\WINXP\system32\acelpdec.ax
14:36:58 | Registered: C:\WINXP\system32\actxprxy.dll
14:36:58 | Registered: C:\WINXP\system32\asctrls.ocx
14:36:58 | Registered: C:\WINXP\system32\daxctle.ocx
14:36:58 | Registered: C:\WINXP\system32\hhctrl.ocx
14:36:59 | Registered: C:\WINXP\system32\l3codecx.ax
14:36:59 | Registered: C:\WINXP\system32\licmgr10.dll
14:36:59 | Registered: C:\WINXP\system32\mpg4ds32.ax
14:37:01 | Registered: C:\WINXP\system32\msdxm.ocx
14:37:01 | Registered: C:\WINXP\system32\plugin.ocx
14:37:01 | Registered: C:\WINXP\system32\proctexe.ocx
14:37:01 | Registered: C:\WINXP\system32\tdc.ocx
14:37:02 | Registered: C:\WINXP\system32\wshom.ocx
--- Registration: Control Panel applets ---
14:37:03 | DllInstalled: C:\WINXP\system32\inetcpl.cpl
14:37:04 | DllInstalled: C:\WINXP\system32\nusrmgr.cpl
14:37:04 | Registered: C:\WINXP\system32\nusrmgr.cpl
--- Registration: Direct[X|Draw|Show|Media] ---
14:37:04 | Registered: C:\WINXP\system32\quartz.dll
14:37:04 | Registered: C:\WINXP\system32\danim.dll
14:37:05 | Registered: C:\WINXP\system32\dmscript.dll
14:37:05 | Registered: C:\WINXP\system32\dmstyle.dll
14:37:05 | Registered: C:\WINXP\system32\dxmasf.dll
14:37:05 | Registered: C:\WINXP\system32\dxtmsft.dll
14:37:05 | Registered: C:\WINXP\system32\dxtrans.dll
14:37:05 | Registered: C:\WINXP\system32\sbe.dll
--- Registration: Programming cores/runtimes ---
14:37:05 | Registered: C:\WINXP\system32\atl.dll
14:37:05 | Registered: C:\WINXP\system32\corpol.dll
14:37:06 | Registered: C:\WINXP\system32\jscript.dll
14:37:06 | Registered: C:\WINXP\system32\dispex.dll
14:37:06 | Registered: C:\WINXP\system32\scrrun.dll
14:37:06 | Registered: C:\WINXP\system32\scrobj.dll
14:37:06 | Registered: C:\WINXP\system32\vbscript.dll
14:37:06 | Registered: C:\WINXP\system32\wshext.dll
--- Registration: Explorer/IE/OE/shell/WMP ---
14:37:06 | Registered: C:\WINXP\system32\activeds.dll
14:37:07 | Registered: C:\WINXP\system32\audiodev.dll
14:37:07 | Registered: C:\WINXP\system32\browsewm.dll
14:37:07 | Registered: C:\WINXP\system32\cabview.dll
14:37:07 | Registered: C:\WINXP\system32\cdfview.dll
14:37:07 | Registered: C:\WINXP\system32\clbcatex.dll
14:37:07 | Registered: C:\WINXP\system32\clbcatq.dll
14:37:07 | Registered: C:\WINXP\system32\comcat.dll
14:37:07 | Registered: C:\WINXP\system32\cscui.dll
14:37:07 | Registered: C:\WINXP\system32\credui.dll
14:37:07 | Registered: C:\WINXP\system32\datime.dll
14:37:08 | Registered: C:\WINXP\system32\devmgr.dll
14:37:08 | Registered: C:\WINXP\system32\dfsshlex.dll
14:37:08 | Registered: C:\WINXP\system32\dmdlgs.dll
14:37:08 | Registered: C:\WINXP\system32\dmdskmgr.dll
14:37:08 | Registered: C:\WINXP\system32\dmloader.dll
14:37:08 | Registered: C:\WINXP\system32\dmocx.dll
14:37:08 | Registered: C:\WINXP\system32\dmview.ocx
14:37:08 | DllInstalled: C:\WINXP\system32\dsuiext.dll
14:37:08 | Registered: C:\WINXP\system32\dsuiext.dll
14:37:08 | DllInstalled: C:\WINXP\system32\dsquery.dll
14:37:09 | Registered: C:\WINXP\system32\dsquery.dll
14:37:09 | Registered: C:\WINXP\system32\dskquoui.dll
14:37:09 | Registered: C:\WINXP\system32\els.dll
14:37:09 | Registered: C:\WINXP\system32\es.dll
14:37:09 | Registered: C:\WINXP\system32\fontext.dll
14:37:09 | Registered: C:\WINXP\system32\hlink.dll
14:37:09 | Registered: C:\WINXP\system32\hnetcfg.dll
14:37:10 | Registered: C:\WINXP\system32\iedkcs32.dll
14:37:10 | Registered: C:\WINXP\system32\iepeers.dll
14:37:10 | Registered: C:\WINXP\system32\ils.dll
14:37:10 | Registered: C:\WINXP\system32\inetcfg.dll
14:37:10 | Registered: C:\WINXP\system32\inetcomm.dll
14:37:10 | Registered: C:\WINXP\system32\laprxy.dll
14:37:11 | Registered: C:\WINXP\system32\lmrt.dll
14:37:11 | Registered: C:\WINXP\system32\mlang.dll
14:37:11 | Registered: C:\WINXP\system32\mmcndmgr.dll
14:37:11 | Registered: C:\WINXP\system32\mmcshext.dll
14:37:11 | Registered: C:\WINXP\system32\mscoree.dll
14:37:12 | Registered: C:\WINXP\system32\mshtmled.dll
14:37:12 | Registered: C:\WINXP\system32\msoeacct.dll
14:37:12 | Registered: C:\WINXP\system32\msr2c.dll
14:37:12 | DllInstalled: C:\WINXP\system32\mydocs.dll
14:37:12 | Registered: C:\WINXP\system32\mydocs.dll
14:37:12 | Registered: C:\WINXP\system32\mstime.dll
14:37:12 | Registered: C:\WINXP\system32\netcfgx.dll
14:37:12 | DllInstalled: C:\WINXP\system32\netplwiz.dll
14:37:13 | Registered: C:\WINXP\system32\netplwiz.dll
14:37:13 | Registered: C:\WINXP\system32\netman.dll
14:37:13 | Registered: C:\WINXP\system32\netshell.dll
14:37:13 | Registered: C:\WINXP\system32\ntmsevt.dll
14:37:13 | Registered: C:\WINXP\system32\ntmsmgr.dll
14:37:13 | DllInstalled: C:\WINXP\system32\ntmssvc.dll
14:37:13 | Registered: C:\WINXP\system32\ntmssvc.dll
14:37:13 | DllInstalled: C:\WINXP\system32\occache.dll
14:37:14 | Registered: C:\WINXP\system32\occache.dll
14:37:14 | Registered: C:\WINXP\system32\ole32.dll
14:37:14 | Registered: C:\WINXP\system32\oleaut32.dll
14:37:14 | Registered: C:\WINXP\system32\oleacc.dll
14:37:14 | Registered: C:\WINXP\system32\olepro32.dll
14:37:14 | DllInstalled: C:\WINXP\system32\photowiz.dll
14:37:14 | Registered: C:\WINXP\system32\photowiz.dll
14:37:14 | Registered: C:\WINXP\system32\remotepg.dll
14:37:14 | Registered: C:\WINXP\system32\rpcrt4.dll
14:37:14 | Registered: C:\WINXP\system32\rshx32.dll
14:37:14 | Registered: C:\WINXP\system32\sendmail.dll
14:37:15 | Registered: C:\WINXP\system32\slayerxp.dll
14:37:15 | Registered: C:\WINXP\system32\shell32.dll
14:37:27 | DllInstalled: C:\WINXP\system32\shell32.dll
14:37:27 | Registered: C:\WINXP\system32\shmedia.dll
14:37:27 | DllInstalled: C:\WINXP\system32\shimgvw.dll
14:37:27 | Registered: C:\WINXP\system32\shimgvw.dll
14:37:27 | DllInstalled: C:\WINXP\system32\shsvcs.dll
14:37:28 | Registered: C:\WINXP\system32\shsvcs.dll
14:37:28 | Registered: C:\WINXP\system32\srclient.dll
14:37:28 | Unregistered: C:\WINXP\system32\stobject.dll
14:37:28 | Registered: C:\WINXP\system32\stobject.dll
14:37:28 | Registered: C:\WINXP\system32\twext.dll
14:37:30 | DllInstalled: C:\WINXP\system32\urlmon.dll
14:37:30 | Registered: C:\WINXP\system32\urlmon.dll
14:37:30 | Registered: C:\WINXP\system32\userenv.dll
14:37:30 | Registered: C:\WINXP\system32\winhttp.dll
14:37:30 | DllInstalled: C:\WINXP\system32\wininet.dll
14:37:31 | Registered: C:\WINXP\system32\zipfldr.dll
14:37:31 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdadc.dll
14:37:31 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaenum.dll
14:37:31 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaer.dll
14:37:31 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaipp.dll
14:37:31 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaora.dll
14:37:31 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaosp.dll
14:37:32 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaps.dll
14:37:32 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdasc.dll
14:37:32 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdasql.dll
14:37:32 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdatt.dll
14:37:32 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaurl.dll
14:37:32 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msxactps.dll
14:37:32 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\oledb32.dll
14:37:32 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\oledb32r.dll
14:37:32 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\sqloledb.dll
14:37:33 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\sqlxmlx.dll

Gruß Mitch

#23 Ereignisanzeige - Fehlersuche
Start => ausführen => eventvwr.msc (reinschreiben) => OK. Dort in den Systemlogs und Anwendungslogs nach Fehlermeldungen (rote Kreuze) suchen. Sortiere nach Typ, dann erscheinen die roten Kreuze ganz oben respektive ganz unten. Normalerweise sind die nach Datum sortiert. Doppelklick auf einen Eintrag => öffnet ein Dateifenster => rechts in dem Fenster gibt es einen Knopf zum Kopieren in die Zwischenablage. Die jeweils letzten fünf Fehlermeldungen dann hier posten.

#24 hier die ersten fünf Anwendungslogs (Datum absteigend):

Code

Ereignistyp:    Fehler
Ereignisquelle:    Application Error
Ereigniskategorie:    Keine
Ereigniskennung:    1000
Datum:        15.12.2010
Zeit:        10:19:34
Benutzer:        Nicht zutreffend
Computer:    MITCH
Beschreibung:
Fehlgeschlagene Anwendung mbam.exe, Version 1.50.0.0, fehlgeschlagenes Modul msvbvm60.dll, Version 6.0.97.82, Fehleradresse 0x000e3b8a.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 41 70 70 6c 69 63 61 74   Applicat
0008: 69 6f 6e 20 46 61 69 6c   ion Fail
0010: 75 72 65 20 20 6d 62 61   ure  mba
0018: 6d 2e 65 78 65 20 31 2e   m.exe 1.
0020: 35 30 2e 30 2e 30 20 69   50.0.0 i
0028: 6e 20 6d 73 76 62 76 6d   n msvbvm
0030: 36 30 2e 64 6c 6c 20 36   60.dll 6
0038: 2e 30 2e 39 37 2e 38 32   .0.97.82
0040: 20 61 74 20 6f 66 66 73    at offs
0048: 65 74 20 30 30 30 65 33   et 000e3
0050: 62 38 61 0d 0a            b8a..   

Code

Ereignistyp:    Fehler
Ereignisquelle:    Application Error
Ereigniskategorie:    Keine
Ereigniskennung:    1000
Datum:        15.12.2010
Zeit:        08:51:53
Benutzer:        Nicht zutreffend
Computer:    MITCH
Beschreibung:
Fehlgeschlagene Anwendung mbam.exe, Version 1.50.0.0, fehlgeschlagenes Modul msvbvm60.dll, Version 6.0.97.82, Fehleradresse 0x000e3b8a.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 41 70 70 6c 69 63 61 74   Applicat
0008: 69 6f 6e 20 46 61 69 6c   ion Fail
0010: 75 72 65 20 20 6d 62 61   ure  mba
0018: 6d 2e 65 78 65 20 31 2e   m.exe 1.
0020: 35 30 2e 30 2e 30 20 69   50.0.0 i
0028: 6e 20 6d 73 76 62 76 6d   n msvbvm
0030: 36 30 2e 64 6c 6c 20 36   60.dll 6
0038: 2e 30 2e 39 37 2e 38 32   .0.97.82
0040: 20 61 74 20 6f 66 66 73    at offs
0048: 65 74 20 30 30 30 65 33   et 000e3
0050: 62 38 61 0d 0a            b8a..   

Code

Ereignistyp:    Fehler
Ereignisquelle:    MsiInstaller
Ereigniskategorie:    Keine
Ereigniskennung:    11706
Datum:        14.12.2010
Zeit:        18:52:01
Benutzer:        MITCH\Mitsch
Computer:    MITCH
Beschreibung:
Produkt: Microsoft Office 2000 Premium -- Fehler 1706. Es wurde keine gültige Quelle für das Produkt "Microsoft Office 2000 Premium" gefunden. Die Installation kann nicht fortgesetzt werden.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 7b 30 30 30 30 30 34 30   {0000040
0008: 37 2d 37 38 45 31 2d 31   7-78E1-1
0010: 31 44 32 2d 42 36 30 46   1D2-B60F
0018: 2d 30 30 36 30 39 37 43   -006097C
0020: 39 39 38 45 37 7d         998E7}  

Code

Ereignistyp:    Fehler
Ereignisquelle:    MsiInstaller
Ereigniskategorie:    Keine
Ereigniskennung:    11706
Datum:        14.12.2010
Zeit:        18:51:52
Benutzer:        MITCH\Mitsch
Computer:    MITCH
Beschreibung:
Produkt: Microsoft Office 2000 Premium -- Fehler 1706. Es wurde keine gültige Quelle für das Produkt "Microsoft Office 2000 Premium" gefunden. Die Installation kann nicht fortgesetzt werden.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 7b 30 30 30 30 30 34 30   {0000040
0008: 37 2d 37 38 45 31 2d 31   7-78E1-1
0010: 31 44 32 2d 42 36 30 46   1D2-B60F
0018: 2d 30 30 36 30 39 37 43   -006097C
0020: 39 39 38 45 37 7d         998E7}  

Code

Ereignistyp:    Fehler
Ereignisquelle:    Application Error
Ereigniskategorie:    Keine
Ereigniskennung:    1000
Datum:        13.12.2010
Zeit:        10:21:07
Benutzer:        Nicht zutreffend
Computer:    MITCH
Beschreibung:
Fehlgeschlagene Anwendung thx.exe, Version 0.0.0.0, fehlgeschlagenes Modul mshtml.dll, Version 7.0.6000.20772, Fehleradresse 0x00037e80.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 41 70 70 6c 69 63 61 74   Applicat
0008: 69 6f 6e 20 46 61 69 6c   ion Fail
0010: 75 72 65 20 20 74 68 78   ure  thx
0018: 2e 65 78 65 20 30 2e 30   .exe 0.0
0020: 2e 30 2e 30 20 69 6e 20   .0.0 in 
0028: 6d 73 68 74 6d 6c 2e 64   mshtml.d
0030: 6c 6c 20 37 2e 30 2e 36   ll 7.0.6
0038: 30 30 30 2e 32 30 37 37   000.2077
0040: 32 20 61 74 20 6f 66 66   2 at off
0048: 73 65 74 20 30 30 30 33   set 0003
0050: 37 65 38 30 0d 0a         7e80..  

#25 ..und noch die fünf Systemlogs (Datum absteigend)

Code

Ereignistyp:    Fehler
Ereignisquelle:    Service Control Manager
Ereigniskategorie:    Keine
Ereigniskennung:    7000
Datum:        16.12.2010
Zeit:        19:09:39
Benutzer:        Nicht zutreffend
Computer:    MITCH
Beschreibung:
Der Dienst "DM1Service" wurde aufgrund folgenden Fehlers nicht gestartet: 
Das System kann den angegebenen Pfad nicht finden. 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Code

Ereignistyp:    Fehler
Ereignisquelle:    Service Control Manager
Ereigniskategorie:    Keine
Ereigniskennung:    7023
Datum:        16.12.2010
Zeit:        14:35:56
Benutzer:        Nicht zutreffend
Computer:    MITCH
Beschreibung:
Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet: 
Das angegebene Modul wurde nicht gefunden. 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Code

Ereignistyp:    Fehler
Ereignisquelle:    Service Control Manager
Ereigniskategorie:    Keine
Ereigniskennung:    7023
Datum:        16.12.2010
Zeit:        14:35:48
Benutzer:        Nicht zutreffend
Computer:    MITCH
Beschreibung:
Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet: 
Das angegebene Modul wurde nicht gefunden. 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Code

Ereignistyp:    Fehler
Ereignisquelle:    Service Control Manager
Ereigniskategorie:    Keine
Ereigniskennung:    7023
Datum:        16.12.2010
Zeit:        14:24:28
Benutzer:        Nicht zutreffend
Computer:    MITCH
Beschreibung:
Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet: 
Das angegebene Modul wurde nicht gefunden. 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Code

Ereignistyp:    Fehler
Ereignisquelle:    Service Control Manager
Ereigniskategorie:    Keine
Ereigniskennung:    7000
Datum:        16.12.2010
Zeit:        14:24:28
Benutzer:        Nicht zutreffend
Computer:    MITCH
Beschreibung:
Der Dienst "DM1Service" wurde aufgrund folgenden Fehlers nicht gestartet: 
Das System kann den angegebenen Pfad nicht finden. 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Gruß Mitch

#26 Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2
• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code

:filefind
*thx.exe*
thx.exe
:regfind
thx.exe

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

#27 ..SystemLook fertig:

Code

SystemLook 04.09.10 by jpshortstuff
Log created at 20:35 on 16/12/2010 by Mitsch
Administrator - Elevation successful

========== filefind ==========

Searching for "*thx.exe*"
No files found.

Searching for "thx.exe"
No files found.

========== regfind ==========

Searching for "thx.exe"
No data found.

-= EOF =-

#28 Schritt 1

CCleaner installieren und einstellen

• [url=http://www.ccleaner.com/download/builds/downloading-slim]CCleaner (Slim ohne Toolbar)[/url] herunterladen und installieren.
• CCleaner starten und => unter options settings => german einstellen.
• Gehe auf den Button links oben "Cleaner" => Reiter "Windows"
setze Häkchen wie folgt:
alle außer "Eingabefeld Verlauf" und bei
Erweitert nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner".
• Wechsel zum Reiter "Anwendungen",
dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Schritt 2

Registry mit CCleaner bereinigen

Gehe links auf den Button "Einstellungen" und kontrolliere, ob bei "Erweitert" ein Haken bei
"Zeige Aufforderung für ein Backup der Registry" vorhanden ist, falls nicht, bitte anhaken. Zur Registry-Bereinigung klicke links auf "Registry", setze alle Häkchen und starte die Suche unten mit dem Button "nach Fehlern suchen". Die gefundenen Fehler kannst Du durch den
Button "Fehler beheben" entfernen lassen. Diesen Vorgang wiederholen, bis keine Fehler
mehr gefunden werden. Den Rechner neu starten. Teile uns hier mit, wie viele Fehler
bereinigt wurden.

Schritt 3

Gibts so schon eine Verbesserung?

#29 Guten Morgen Swiss,

hab CCleaner genutzt, mit folgendem Ergebnis:
- das Problem 2x Ausschalten beim runterfahren bleibt
- das Problem des "hängenbleibens" beim einschalten bleibt ebenfalls
- ca. 90 Fehler wurden in der Registrierung behoben
- folgender Registrierungsschlüssel ließ sich nicht bereinigen (Fehler mit CCleaner bereinigt, bei nochmaliger Suche wird der Wert wieder angegeben, 3x mit Bereinigung probiert)
Daten:
{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Registry Schlüssel:
HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

..irgendwie ist die Kiste scheinbar völlig verbogen !?
Gruß Mitch

#30 Das mit den Schlüsseln der Registry hat sicher mit Avira zu tun und ist auch nicht weiter schlimm. Wieso es zu diesen probleme kommt ist mir auch unerklärlich. Es kann aber sehr viele Ursachen haben. Sind die Probleme wirklich erst seit der Infektion?