Home » Viren, Trojaner & Malware Forum » Internet Explorer startet in regelmäßigen Abständen automatisch » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2 3

Antworten

Internet Explorer startet in regelmäßigen Abständen automatisch

13.12.2010, 19:43

mitch110

Member

Beiträge: 23

#1 Hallo,

habe folgendes Problem. Seid gestern startet der Internet Explorer automatisch und lädt verschiedene Pages, meist Werbung ohne mein Eingreifen. Habe Verdacht, dass sich ein Trojaner oder Virus etc. da zu schaffen macht. Nach ein paar Stunden sind mehrere Explorerfenster geöffnet...

Was kann ich nun tun? Für Hilfe wäre ich sehr dankbar.
Gruß Mitch

13.12.2010, 19:57

mitch110

Member

Themenstarter

Beiträge: 23

#2 anbei das Logfile der OTL.txt:

Code


OTL Extras logfile created on: 13.12.2010 19:48:48 - Run 1
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\Mitsch\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 61,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 75,00% Paging File free
Paging file location(s): C:\pagefile.sys 336 672 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 38,33 Gb Total Space | 1,71 Gb Free Space | 4,46% Space Free | Partition Type: NTFS
Drive D: | 322,99 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive F: | 465,75 Gb Total Space | 231,52 Gb Free Space | 49,71% Space Free | Partition Type: NTFS
 
Computer Name: MITCH | User Name: Mitsch | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[color=#E56717]========== System Restore Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
[color=#E56717]========== Firewall Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\concept design\onlineTV 2\onlineTV.exe" = C:\Programme\concept design\onlineTV 2\onlineTV.exe:*:Enabled:onlineTV -- (concept/design GmbH)
"C:\Programme\concept design\onlineTV 3\onlineTV.exe" = C:\Programme\concept design\onlineTV 3\onlineTV.exe:*:Enabled:onlineTV -- (concept/design GmbH)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\concept design\onlineTV 2\onlineTV.exe" = C:\Programme\concept design\onlineTV 2\onlineTV.exe:*:Enabled:onlineTV -- (concept/design GmbH)
"C:\Programme\concept design\onlineTV 3\onlineTV.exe" = C:\Programme\concept design\onlineTV 3\onlineTV.exe:*:Enabled:onlineTV -- (concept/design GmbH)
"D:\Steuersoftware\StsInstall.exe" = D:\Steuersoftware\StsInstall.exe:*:Enabled:StsInstall -- File not found
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\Programme\Gemeinsame Dateien\Ahead\Nero Web\SetupX.exe" = C:\Programme\Gemeinsame Dateien\Ahead\Nero Web\SetupX.exe:*:Enabled:Nero ProductSetup -- (Nero AG)
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Disabled:Google Earth -- (Google)
"C:\WINXP\system32\dpvsetup.exe" = C:\WINXP\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Programme\MyPhoneExplorer\MyPhoneExplorer.exe" = C:\Programme\MyPhoneExplorer\MyPhoneExplorer.exe:*:Enabled:MyPhoneExplorer -- (F.J. Wechselberger)
 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{00F115CE-9BDD-4729-9122-2476CD02856B}" = Quicken DELUXE 2004
"{16E6A5A1-B6ED-4915-86FD-4EBF221D050F}_is1" = onlineTV 2
"{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}" = QuickTime
"{196467F1-C11F-4F76-858B-5812ADC83B94}" = MSXML 4.0 SP3 Parser
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 22
"{31A559C1-9E4D-423B-9DD3-34A6C5398752}" = HTC BMP USB Driver
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{32E00E5E-22B1-4D5A-9DC2-CD75E087A5E6}" = Steuer-Spar-Erklärung 2009
"{345112D9-0930-4A68-AB71-A831BA5DE7AA}" = Microsoft IntelliType Pro 6.2
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4286E640-B5FB-11DF-AC4B-005056C00008}" = Google Earth
"{44734179-8A79-4DEE-BB08-73037F065543}" = Apple Mobile Device Support
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{46C045BF-2B3F-4BC4-8E4C-00E0CF8BD9DB}" = Adobe AIR
"{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}" = Bonjour
"{485E5BAD-F2A2-4D30-BE55-5D899BE4D165}" = T-Sinus 154pcicard  Install
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{55A29068-F2CE-456C-9148-C869879E2357}" = TuneUp Utilities 2009
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{585776BC-4BD6-4BD2-A19A-1D6CB44A403B}" = iTunes
"{66017349-81C8-48C3-B0E2-704DB146D70F}" = Lexware online banking V 2.39
"{66A9D30D-1464-4C7F-B2F3-507DADAF2595}" = Microsoft IntelliPoint 6.3
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6D6664A9-3342-4948-9B7E-034EFE366F0F}" = HTC Driver Installer
"{80E9F5C1-4F6D-494C-A8D3-0B0879EA368D}" = DDBAC
"{91348578-CC58-4BAB-BAAC-8CE42EFAD592}_is1" = concept/design onlineTV 3
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.3 - Deutsch
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}" = Apple Software Update
"{D8E1DFEE-622B-46BA-AEFF-AB7E541C0B21}" = Steuer-Spar-Erklärung 2010
"{DF6FE172-006A-4324-AF7F-ACFE4BA290FE}" = AAVUpdateManager
"{DFAA3C20-5968-46A3-B7B0-0AF72D758A59}" = HTC Sync
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{E36E864B-BFB6-440A-9A23-2B0BEDE59A92}" = MultiScreen
"{F90D6825-8F1F-4E3A-9E42-A9C8A9DD1031}" = Nero 7 Premium
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe AIR" = Adobe AIR
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.12 (Unicode)
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"CloneCD" = CloneCD
"CloneDVD2" = CloneDVD2
"FirstloadIkarus" = Firstload Ikarus
"FreePDF_XP" = FreePDF XP (Remove only)
"GPL Ghostscript 8.63" = GPL Ghostscript 8.63
"InstallShield_{485E5BAD-F2A2-4D30-BE55-5D899BE4D165}" = T-Sinus 154pcicard
"Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12)
"MPE" = MyPhoneExplorer
"P4M266" = ProSavageDDR and Utilities
"Picasa 3" = Picasa 3
"QuickPar" = QuickPar 0.9
"ratDVD" = ratDVD 0.78.1444
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"S3Display" = S3Display
"S3Gamma2" = S3Gamma2
"S3Info2" = S3Info2
"S3Overlay" = S3Overlay
"VIA Audio Driver Setup Program" = VIA Audio Driver Setup Program
"VLC media player" = VLC media player 1.1.4
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"WinGimp-2.0_is1" = GIMP 2.6.7
"WinRAR archiver" = WinRAR
"XP Codec Pack" = XP Codec Pack
"xp-AntiSpy" = xp-AntiSpy 3.96-6
 
[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"InstallShield_{00F115CE-9BDD-4729-9122-2476CD02856B}" = Quicken DELUXE 2004
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ Application Events ]
Error - 10.09.2009 15:51:48 | Computer Name = MITCH | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 18.09.2009 11:09:13 | Computer Name = MITCH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung firstloadikarus.exe, Version 0.16.3003.0,
 fehlgeschlagenes Modul kernel32.dll, Version 5.1.2600.3119, Fehleradresse 0x00012a7b.
 
Error - 12.10.2009 15:48:11 | Computer Name = MITCH | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 19.10.2009 15:23:09 | Computer Name = MITCH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung vlc.exe, Version 0.9.9.0, fehlgeschlagenes
 Modul libvout_directx_plugin.dll, Version 0.0.0.0, Fehleradresse 0x00005cbc.
 
Error - 11.11.2009 18:28:06 | Computer Name = MITCH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung vlc.exe, Version 0.9.9.0, fehlgeschlagenes
 Modul libbandlimited_resampler_plugin.dll, Version 0.0.0.0, Fehleradresse 0x000015ba.
 
Error - 18.11.2009 14:59:30 | Computer Name = MITCH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung vlc.exe, Version 0.9.9.0, fehlgeschlagenes
 Modul libbandlimited_resampler_plugin.dll, Version 0.0.0.0, Fehleradresse 0x000015ba.
 
Error - 18.11.2009 15:15:35 | Computer Name = MITCH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung vlc.exe, Version 0.9.9.0, fehlgeschlagenes
 Modul libvout_directx_plugin.dll, Version 0.0.0.0, Fehleradresse 0x00005c36.
 
Error - 25.11.2009 16:08:52 | Computer Name = MITCH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung vlc.exe, Version 0.9.9.0, fehlgeschlagenes
 Modul libvlccore.dll, Version 0.9.9.0, Fehleradresse 0x00074447.
 
Error - 17.12.2009 10:05:08 | Computer Name = MITCH | Source = .NET Runtime | ID = 1023
Description = .NET Runtime version 2.0.50727.1433 - Fatal Execution Engine Error
 (7A01C4EC) (800703e9)
 
Error - 24.12.2009 10:11:15 | Computer Name = MITCH | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
[ System Events ]
Error - 13.12.2010 14:26:01 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:26:01 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:26:01 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:27:41 | Computer Name = MITCH | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst ShellHWDetection.
 
Error - 13.12.2010 14:40:25 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:40:25 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:40:25 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:40:25 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:40:25 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:44:53 | Computer Name = MITCH | Source = Service Control Manager | ID = 7000
Description = Der Dienst "DM1Service" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%3
 
[ TuneUp Events ]
Error - 10.02.2010 02:43:49 | Computer Name = MITCH | Source = TuneUp Program Statistics | ID = 131840
Description = SQL Error: database or disk is full; when executing SQL: UPDATE StartMenuEntries
 SET Outdated='1'
 
Error - 10.02.2010 02:43:50 | Computer Name = MITCH | Source = TuneUp Program Statistics | ID = 131840
Description = SQL Error: database or disk is full; when executing SQL: INSERT INTO
 Applications (Exe, Started, Ended, State, Resumed) SELECT Exe, Started, Ended, 
State, Resumed FROM MemApplications;DELETE FROM MemApplications;INSERT INTO Applications
 (Exe, Started, Ended, State, Resumed) SELECT Exe, Started, '2010-02-10 07:43:50',
 1, Resumed FROM ActiveApps;DELETE FROM ActiveApps
 
 
< End of report >

und die Extras.txt:

Code

 
OTL Extras logfile created on: 13.12.2010 19:48:48 - Run 1
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\Mitsch\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 61,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 75,00% Paging File free
Paging file location(s): C:\pagefile.sys 336 672 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 38,33 Gb Total Space | 1,71 Gb Free Space | 4,46% Space Free | Partition Type: NTFS
Drive D: | 322,99 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive F: | 465,75 Gb Total Space | 231,52 Gb Free Space | 49,71% Space Free | Partition Type: NTFS
 
Computer Name: MITCH | User Name: Mitsch | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[color=#E56717]========== System Restore Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
[color=#E56717]========== Firewall Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\concept design\onlineTV 2\onlineTV.exe" = C:\Programme\concept design\onlineTV 2\onlineTV.exe:*:Enabled:onlineTV -- (concept/design GmbH)
"C:\Programme\concept design\onlineTV 3\onlineTV.exe" = C:\Programme\concept design\onlineTV 3\onlineTV.exe:*:Enabled:onlineTV -- (concept/design GmbH)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\concept design\onlineTV 2\onlineTV.exe" = C:\Programme\concept design\onlineTV 2\onlineTV.exe:*:Enabled:onlineTV -- (concept/design GmbH)
"C:\Programme\concept design\onlineTV 3\onlineTV.exe" = C:\Programme\concept design\onlineTV 3\onlineTV.exe:*:Enabled:onlineTV -- (concept/design GmbH)
"D:\Steuersoftware\StsInstall.exe" = D:\Steuersoftware\StsInstall.exe:*:Enabled:StsInstall -- File not found
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\Programme\Gemeinsame Dateien\Ahead\Nero Web\SetupX.exe" = C:\Programme\Gemeinsame Dateien\Ahead\Nero Web\SetupX.exe:*:Enabled:Nero ProductSetup -- (Nero AG)
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Disabled:Google Earth -- (Google)
"C:\WINXP\system32\dpvsetup.exe" = C:\WINXP\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Programme\MyPhoneExplorer\MyPhoneExplorer.exe" = C:\Programme\MyPhoneExplorer\MyPhoneExplorer.exe:*:Enabled:MyPhoneExplorer -- (F.J. Wechselberger)
 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{00F115CE-9BDD-4729-9122-2476CD02856B}" = Quicken DELUXE 2004
"{16E6A5A1-B6ED-4915-86FD-4EBF221D050F}_is1" = onlineTV 2
"{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}" = QuickTime
"{196467F1-C11F-4F76-858B-5812ADC83B94}" = MSXML 4.0 SP3 Parser
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 22
"{31A559C1-9E4D-423B-9DD3-34A6C5398752}" = HTC BMP USB Driver
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{32E00E5E-22B1-4D5A-9DC2-CD75E087A5E6}" = Steuer-Spar-Erklärung 2009
"{345112D9-0930-4A68-AB71-A831BA5DE7AA}" = Microsoft IntelliType Pro 6.2
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4286E640-B5FB-11DF-AC4B-005056C00008}" = Google Earth
"{44734179-8A79-4DEE-BB08-73037F065543}" = Apple Mobile Device Support
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{46C045BF-2B3F-4BC4-8E4C-00E0CF8BD9DB}" = Adobe AIR
"{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}" = Bonjour
"{485E5BAD-F2A2-4D30-BE55-5D899BE4D165}" = T-Sinus 154pcicard  Install
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{55A29068-F2CE-456C-9148-C869879E2357}" = TuneUp Utilities 2009
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{585776BC-4BD6-4BD2-A19A-1D6CB44A403B}" = iTunes
"{66017349-81C8-48C3-B0E2-704DB146D70F}" = Lexware online banking V 2.39
"{66A9D30D-1464-4C7F-B2F3-507DADAF2595}" = Microsoft IntelliPoint 6.3
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6D6664A9-3342-4948-9B7E-034EFE366F0F}" = HTC Driver Installer
"{80E9F5C1-4F6D-494C-A8D3-0B0879EA368D}" = DDBAC
"{91348578-CC58-4BAB-BAAC-8CE42EFAD592}_is1" = concept/design onlineTV 3
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.3 - Deutsch
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}" = Apple Software Update
"{D8E1DFEE-622B-46BA-AEFF-AB7E541C0B21}" = Steuer-Spar-Erklärung 2010
"{DF6FE172-006A-4324-AF7F-ACFE4BA290FE}" = AAVUpdateManager
"{DFAA3C20-5968-46A3-B7B0-0AF72D758A59}" = HTC Sync
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{E36E864B-BFB6-440A-9A23-2B0BEDE59A92}" = MultiScreen
"{F90D6825-8F1F-4E3A-9E42-A9C8A9DD1031}" = Nero 7 Premium
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe AIR" = Adobe AIR
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.12 (Unicode)
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"CloneCD" = CloneCD
"CloneDVD2" = CloneDVD2
"FirstloadIkarus" = Firstload Ikarus
"FreePDF_XP" = FreePDF XP (Remove only)
"GPL Ghostscript 8.63" = GPL Ghostscript 8.63
"InstallShield_{485E5BAD-F2A2-4D30-BE55-5D899BE4D165}" = T-Sinus 154pcicard
"Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12)
"MPE" = MyPhoneExplorer
"P4M266" = ProSavageDDR and Utilities
"Picasa 3" = Picasa 3
"QuickPar" = QuickPar 0.9
"ratDVD" = ratDVD 0.78.1444
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"S3Display" = S3Display
"S3Gamma2" = S3Gamma2
"S3Info2" = S3Info2
"S3Overlay" = S3Overlay
"VIA Audio Driver Setup Program" = VIA Audio Driver Setup Program
"VLC media player" = VLC media player 1.1.4
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"WinGimp-2.0_is1" = GIMP 2.6.7
"WinRAR archiver" = WinRAR
"XP Codec Pack" = XP Codec Pack
"xp-AntiSpy" = xp-AntiSpy 3.96-6
 
[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"InstallShield_{00F115CE-9BDD-4729-9122-2476CD02856B}" = Quicken DELUXE 2004
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ Application Events ]
Error - 10.09.2009 15:51:48 | Computer Name = MITCH | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 18.09.2009 11:09:13 | Computer Name = MITCH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung firstloadikarus.exe, Version 0.16.3003.0,
 fehlgeschlagenes Modul kernel32.dll, Version 5.1.2600.3119, Fehleradresse 0x00012a7b.
 
Error - 12.10.2009 15:48:11 | Computer Name = MITCH | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 19.10.2009 15:23:09 | Computer Name = MITCH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung vlc.exe, Version 0.9.9.0, fehlgeschlagenes
 Modul libvout_directx_plugin.dll, Version 0.0.0.0, Fehleradresse 0x00005cbc.
 
Error - 11.11.2009 18:28:06 | Computer Name = MITCH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung vlc.exe, Version 0.9.9.0, fehlgeschlagenes
 Modul libbandlimited_resampler_plugin.dll, Version 0.0.0.0, Fehleradresse 0x000015ba.
 
Error - 18.11.2009 14:59:30 | Computer Name = MITCH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung vlc.exe, Version 0.9.9.0, fehlgeschlagenes
 Modul libbandlimited_resampler_plugin.dll, Version 0.0.0.0, Fehleradresse 0x000015ba.
 
Error - 18.11.2009 15:15:35 | Computer Name = MITCH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung vlc.exe, Version 0.9.9.0, fehlgeschlagenes
 Modul libvout_directx_plugin.dll, Version 0.0.0.0, Fehleradresse 0x00005c36.
 
Error - 25.11.2009 16:08:52 | Computer Name = MITCH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung vlc.exe, Version 0.9.9.0, fehlgeschlagenes
 Modul libvlccore.dll, Version 0.9.9.0, Fehleradresse 0x00074447.
 
Error - 17.12.2009 10:05:08 | Computer Name = MITCH | Source = .NET Runtime | ID = 1023
Description = .NET Runtime version 2.0.50727.1433 - Fatal Execution Engine Error
 (7A01C4EC) (800703e9)
 
Error - 24.12.2009 10:11:15 | Computer Name = MITCH | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
[ System Events ]
Error - 13.12.2010 14:26:01 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:26:01 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:26:01 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:27:41 | Computer Name = MITCH | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst ShellHWDetection.
 
Error - 13.12.2010 14:40:25 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:40:25 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:40:25 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:40:25 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:40:25 | Computer Name = MITCH | Source = PSched | ID = 14103
Description = QoS [Adapter {8CA4A35F-8DBE-4104-B6F0-D33259FDC3A5}]:  Die Abfrage des
 Netzwerkkartentreibers nach OID_GEN_LINK_SPEED ist fehlgeschlagen.
 
Error - 13.12.2010 14:44:53 | Computer Name = MITCH | Source = Service Control Manager | ID = 7000
Description = Der Dienst "DM1Service" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%3
 
[ TuneUp Events ]
Error - 10.02.2010 02:43:49 | Computer Name = MITCH | Source = TuneUp Program Statistics | ID = 131840
Description = SQL Error: database or disk is full; when executing SQL: UPDATE StartMenuEntries
 SET Outdated='1'
 
Error - 10.02.2010 02:43:50 | Computer Name = MITCH | Source = TuneUp Program Statistics | ID = 131840
Description = SQL Error: database or disk is full; when executing SQL: INSERT INTO
 Applications (Exe, Started, Ended, State, Resumed) SELECT Exe, Started, Ended, 
State, Resumed FROM MemApplications;DELETE FROM MemApplications;INSERT INTO Applications
 (Exe, Started, Ended, State, Resumed) SELECT Exe, Started, '2010-02-10 07:43:50',
 1, Resumed FROM ActiveApps;DELETE FROM ActiveApps
 
 
< End of report >

13.12.2010, 21:06

mitch110

Member

Themenstarter

Beiträge: 23

#3 ..so jetzt noch das Logfile von Gmer:

Code

 
GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2010-12-13 21:01:49
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ExcelStor_Technology_J240 rev.VA2OAF0C
Running: GMER_z88ck24k.exe; Driver: C:\DOKUME~1\Mitsch\LOKALE~1\Temp\uxtdypoc.sys


---- System - GMER 1.0.15 ----

SSDT    BAF174B6               ZwCreateKey
SSDT    BAF174AC               ZwCreateThread
SSDT    BAF174BB               ZwDeleteKey
SSDT    BAF174C5               ZwDeleteValueKey
SSDT    BAF174CA               ZwLoadKey
SSDT    BAF17498               ZwOpenProcess
SSDT    BAF1749D               ZwOpenThread
SSDT    BAF174D4               ZwReplaceKey
SSDT    BAF174CF               ZwRestoreKey
SSDT    BAF174C0               ZwSetValueKey

---- Devices - GMER 1.0.15 ----

Device                         Ntfs.sys (NT File System Driver/Microsoft Corporation)

---- Disk sectors - GMER 1.0.15 ----

Disk    \Device\Harddisk0\DR0  sector 01: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 02: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 03: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 04: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 05: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 06: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 07: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 08: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 09: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 10: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 11: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 12: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 13: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 14: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 15: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 16: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 17: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 18: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 19: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 20: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 21: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 22: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 23: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 24: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 25: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 26: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 27: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 28: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 29: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 30: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 31: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 32: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 33: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 34: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 35: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 36: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 37: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 38: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 39: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 40: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 41: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 42: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 43: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 44: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 45: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 46: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 47: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 48: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 49: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 50: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 51: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 52: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 53: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 54: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 55: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 56: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 57: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 58: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 59: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 60: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 61: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 62: copy of MBR
Disk    \Device\Harddisk0\DR0  sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.15 ----

Ich hoffe Ihr könnt mir helfen... !?
Gruß Mitch

14.12.2010, 18:28

Swisstreasure

Moderator

Beiträge: 5694

#4 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.

• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.

Vista und Win7 User:
Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

14.12.2010, 19:12

mitch110

Member

Themenstarter

Beiträge: 23

#5 Hallo Swiss,
anbei das gewünschte Logfile von Combo-Fix:

Code

ComboFix 10-12-13.07 - Mitsch 14.12.2010  18:55:28.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\Mitsch\Desktop\Combo-Fix.exe
.
[i] ADS - WINXP: deleted 72 bytes in 1 streams. [/i]

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winxp\system32\sshnas21.dll
c:\winxp\Tjoxea.exe

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS
-------\Service_SSHNAS


(((((((((((((((((((((((   Dateien erstellt von 2010-11-14 bis 2010-12-14  ))))))))))))))))))))))))))))))
.

2010-12-12 15:35 . 2010-12-12 17:30    --------    d-----w-    c:\winxp\system32\NtmsData
2010-12-12 15:30 . 2010-12-12 15:30    --------    d-----w-    c:\dokumente und einstellungen\Mitsch\Anwendungsdaten\Avira
2010-12-12 15:25 . 2010-11-30 17:48    135096    ----a-w-    c:\winxp\system32\drivers\avipbb.sys
2010-12-12 15:25 . 2010-11-30 17:13    61960    ----a-w-    c:\winxp\system32\drivers\avgntflt.sys
2010-12-12 15:25 . 2010-06-17 13:27    45416    ----a-w-    c:\winxp\system32\drivers\avgntdd.sys
2010-12-12 15:25 . 2010-06-17 13:27    22360    ----a-w-    c:\winxp\system32\drivers\avgntmgr.sys
2010-12-12 15:25 . 2010-12-12 15:25    --------    d-----w-    c:\programme\Avira
2010-12-12 15:25 . 2010-12-12 15:25    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-12-12 15:13 . 2010-12-12 15:13    388096    ----a-r-    c:\dokumente und einstellungen\Mitsch\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-12-12 15:13 . 2010-12-12 15:13    --------    d-----w-    c:\programme\Trend Micro
2010-12-12 10:50 . 2010-12-12 10:50    --------    d-----w-    c:\winxp\system32\wbem\Repository
2010-11-23 18:07 . 2010-11-23 18:07    --------    d-----w-    c:\programme\MultiScreen
2010-11-23 17:52 . 2010-11-23 17:52    --------    d-----w-    C:\Program Files
2010-11-23 17:50 . 2010-11-23 17:50    --------    d-----w-    c:\dokumente und einstellungen\Mitsch\WINDOWS
2010-11-23 17:50 . 2010-11-23 17:50    --------    d-----w-    C:\S3Graphics

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-29 14:10 . 2010-10-29 14:10    226656    ----a-w-    c:\winxp\system32\ddBACCTM.cpl
2010-10-29 14:10 . 2010-10-29 14:10    824672    ----a-w-    c:\winxp\system32\Ddbaccpl.cpl
2008-08-07 17:45 . 2008-08-07 17:45    2924544    ----a-w-    c:\programme\Gemeinsame DateienDDBACSetup.msi
.

------- Sigcheck -------

[-] 2007-10-09 . 6D60483EBCF29203C9B3B453471D3706 . 1548288 . . [5.1.2600.2180] . . c:\winxp\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MultiScreen"="c:\programme\MultiScreen\MultiScreen.exe" [2009-08-11 303104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2008-02-24 1753088]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Mobile Connectivity Suite"="c:\programme\HTC\HTC Sync\Application Launcher\Application Launcher.exe" [2009-11-19 598016]
"VTPreset"="VTPreset.exe" [2004-02-24 45056]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-03-28 413696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-30 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2008-03-01 124928]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute    REG_MULTI_SZ       autocheck autochk /r \??\g:\0autocheck autochk /r \??\F:\0autocheck autochk *

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\winxp\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" /s
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe"
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\concept design\\onlineTV 2\\onlineTV.exe"=
"c:\\Programme\\concept design\\onlineTV 3\\onlineTV.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\WINXP\\system32\\dpvsetup.exe"=
"c:\\Programme\\MyPhoneExplorer\\MyPhoneExplorer.exe"=

R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.12.2010 16:25 135336]
R3 fwlanusbn;FRITZ!WLAN N;c:\winxp\system32\drivers\fwlanusbn.sys [14.04.2010 17:50 401920]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [10.07.2010 10:06 136176]
S3 avmeject;AVM Eject;c:\winxp\system32\drivers\avmeject.sys [14.04.2010 17:50 4352]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\winxp\system32\Drivers\dsltestSp5.sys --> c:\winxp\system32\Drivers\dsltestSp5.sys [?]
S3 HTCAND32;HTC Device Driver;c:\winxp\system32\drivers\ANDROIDUSB.sys [14.11.2010 17:20 24576]
S3 TS154_PCI;T-Sinus 154pcicard Driver;c:\winxp\system32\drivers\TS154PCI.sys [20.11.2003 10:39 377696]
S3 TSMPacket;DSL-Manager Service;c:\winxp\system32\DRIVERS\tsmpkt.sys --> c:\winxp\system32\DRIVERS\tsmpkt.sys [?]
S3 w32n5223;w32n5223 Protocol Driver;c:\progra~1\T-COM\T-COMW~1\INSTAL~1\WINXP\w32n5223.SYS [12.05.2003 16:30 15104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper    REG_MULTI_SZ       getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-12-14 c:\winxp\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-04-27 12:39]

2010-12-10 c:\winxp\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 12:57]

2010-12-14 c:\winxp\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-10 09:06]

2010-12-14 c:\winxp\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-10 09:06]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\winxp\system32\GPhotos.scr/200
FF - ProfilePath - c:\dokumente und einstellungen\Mitsch\Anwendungsdaten\Mozilla\Firefox\Profiles\yiec3cwt.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: FireFTP: {a7c6cf7f-112c-4500-a7ea-39801a327e5f} - %profile%\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Adobe DLM (powered by getPlus(R)): {E2883E8F-472F-4fb0-9522-AC9BF37916A7} - %profile%\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 600000
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: browser.blink_allowed - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-4RBPZMXX4S - c:\winxp\Tjoxea.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-14 19:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1036)
c:\winxp\system32\COMRes.dll

- - - - - - - > 'explorer.exe'(448)
c:\winxp\system32\WPDShServiceObj.dll
c:\winxp\system32\PortableDeviceTypes.dll
c:\winxp\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\avmwlanstick\WlanNetService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\winxp\system32\IoctlSvc.exe
c:\winxp\System32\TUProgSt.exe
c:\winxp\system32\wudfhost.exe
c:\winxp\system32\wscntfy.exe
c:\winxp\system32\wbem\wmiapsrv.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\logger.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
c:\programme\HTC\HTC Sync\ClientInitiatedStarter\ClientInitiatedStarter.exe
c:\programme\HTC\HTC Sync\Mobile Phone Monitor\epmworker.exe
c:\programme\HTC\HTC Sync\Mobile Phone Monitor\HTCVBTServer.exe
c:\programme\HTC\HTC Sync\Mobile Phone Monitor\FsynSrvStarter.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-14  19:09:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-12-14 18:09

Vor Suchlauf: 6.383.964.160 Bytes frei
Nach Suchlauf: 7.006.420.992 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect/noguiboot

- - End Of File - - 2F9F0FE369C3B8BA86E55EC0C918470D

Ich hoffe Du kannst Damit etwas anfangen !? Und schon mal ein Dankeschön für die Unterstützung.

Gruß Mitch

14.12.2010, 19:28

Swisstreasure

Moderator

Beiträge: 5694

#6 Schritt 1

Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

• Downloade die MBR.exe von Gmer und
kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
• Start => ausführen => cmd (da reinschreiben) => OK
es öffnet sich eine Eingabeaufforderung.

Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.

Code

mbr.exe -t > C:\mbr.log & C:\mbr.log

(Enter drücken)
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
Bitte kopiere den Inhalt hier in Deinen Thread.

Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
• Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die

Textbox.

Code

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

14.12.2010, 19:41

mitch110

Member

Themenstarter

Beiträge: 23

#7 Hallo Swiss,

bei mir gibt es keinen Ordner C:\Windows\system32
ein System32 Ordner befindet sich unter
C:\WINXP\system32 ...soll ich diesen nehmen für die MBR.exe ???

Gruß Mitch

14.12.2010, 20:37

Swisstreasure

Moderator

Beiträge: 5694

#8 Ja genau nimm diese

14.12.2010, 21:09

mitch110

Member

Themenstarter

Beiträge: 23

#9 ..jetzt der mbr.log:

Code

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ExcelStor_Technology_J240 rev.VA2OAF0C -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS 
1 nt!IofCallDriver[0x804E37C5] -> \Device\Harddisk0\DR0[0x89382AB8]
3 CLASSPNP[0xBA8E905B] -> nt!IofCallDriver[0x804E37C5] -> \Device\00000059[0x8938FF18]
5 ACPI[0xBA85E620] -> nt!IofCallDriver[0x804E37C5] -> \Device\Ide\IdeDeviceP0T0L0-3[0x89360940]
kernel: MBR read successfully
user & kernel MBR OK

14.12.2010, 21:17

mitch110

Member

Themenstarter

Beiträge: 23

#10 .. und hier die OTL.txt (eine Extra.txt hat er nicht angelegt?):

Code

OTL logfile created on: 14.12.2010 21:12:20 - Run 2
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\Mitsch\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 71,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): C:\pagefile.sys 336 672 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 38,33 Gb Total Space | 6,56 Gb Free Space | 17,12% Space Free | Partition Type: NTFS
Drive D: | 322,99 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: MITCH | User Name: Mitsch | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - C:\Dokumente und Einstellungen\Mitsch\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\HTC\HTC Sync\ClientInitiatedStarter\ClientInitiatedStarter.exe (Teleca)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\HTC\HTC Sync\Mobile Phone Monitor\epmworker.exe (Teleca Sweden AB)
PRC - C:\Programme\HTC\HTC Sync\Mobile Phone Monitor\FsynSrvStarter.exe (TODO: <Company name>)
PRC - C:\Programme\HTC\HTC Sync\Mobile Phone Monitor\HTCVBTServer.exe (Teleca AB)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe (Teleca AB)
PRC - C:\Programme\HTC\HTC Sync\Application Launcher\Application Launcher.exe (Teleca Sweden AB)
PRC - C:\WINXP\system32\TUProgSt.exe (TuneUp Software)
PRC - C:\Programme\Gemeinsame Dateien\Teleca Shared\logger.exe (Popwire AB)
PRC - C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe (Teleca Sweden AB)
PRC - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe ()
PRC - C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple, Inc.)
PRC - C:\WINXP\explorer.exe (Microsoft Corporation)
 
 
[color=#E56717]========== Modules (SafeList) ==========[/color]
 
MOD - C:\Dokumente und Einstellungen\Mitsch\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINXP\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)
 
 
[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - (wuauserv) -- C:\WINDOWS\system32\wuauserv.dll File not found
SRV - (DM1Service) -- C:\Programme\Olympus\DeviceDetector\DM1Service.exe File not found
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (getPlusHelper) getPlus(R) -- C:\Programme\NOS\bin\getPlus_Helper.dll (NOS Microsystems Ltd.)
SRV - (TuneUp.ProgramStatisticsSvc) -- C:\WINXP\system32\TUProgSt.exe (TuneUp Software)
SRV - (TuneUp.Defrag) -- C:\WINXP\system32\TuneUpDefragService.exe (TuneUp Software)
SRV - (UxTuneUp) -- C:\WINXP\system32\uxtuneup.dll (TuneUp Software)
SRV - (AAV UpdateService) -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe ()
SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple, Inc.)
SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - (TSMPacket) -- C:\WINXP\System32\DRIVERS\tsmpkt.sys File not found
DRV - (dsltestSp5) -- C:\WINXP\System32\Drivers\dsltestSp5.sys File not found
DRV - (catchme) -- C:\Combo-Fix\catchme.sys File not found
DRV - (avipbb) -- C:\WINXP\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINXP\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINXP\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (HTCAND32) -- C:\WINXP\system32\drivers\ANDROIDUSB.sys (HTC, Corporation)
DRV - (ElbyCDIO) -- C:\WINXP\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (fwlanusbn) -- C:\WINXP\system32\drivers\fwlanusbn.sys (AVM GmbH)
DRV - (avmeject) -- C:\WINXP\system32\drivers\avmeject.sys (AVM Berlin)
DRV - (ElbyCDFL) -- C:\WINXP\system32\drivers\ElbyCDFL.sys (SlySoft, Inc.)
DRV - (S3SavageNB) -- C:\WINXP\system32\drivers\s3gnbm.sys (S3 Graphics, Inc.)
DRV - (S3Psddr) -- C:\WINXP\system32\drivers\s3gnbm.sys (S3 Graphics, Inc.)
DRV - (gameenum) -- C:\WINXP\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (TS154_PCI) -- C:\WINXP\system32\drivers\TS154PCI.sys (Deutsche Telekom AG)
DRV - (w32n5223) -- C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154pcicard\Installer\WINXP\w32n5223.sys (Deutsche Telekon)
DRV - (VIAudio) VIA AC'97 Enhanced Audio Controller (WDM) -- C:\WINXP\system32\drivers\viaudio.sys (VIA Technologies, Inc.)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
[color=#E56717]========== FireFox ==========[/color]
 
FF - prefs.js..browser.startup.homepage: "http://www.google.de/"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.2
FF - prefs.js..extensions.enabledItems: {a7c6cf7f-112c-4500-a7ea-39801a327e5f}:1.0.10
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.63
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
 
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{3112ca9c-de6d-4884-a869-9855de68056c}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2007.10.17 15:27:58 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\{400F0BDB-6C49-43A4-BE1F-76D7327A604D}: C:\Programme\Gemeinsame Dateien\fluxDVD\Download Manager\Mozilla [2008.03.21 21:36:05 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.12 13:22:30 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.12 13:22:34 | 000,000,000 | ---D | M]
 
[2008.12.23 20:44:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mitsch\Anwendungsdaten\Mozilla\Extensions
[2010.12.14 20:10:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mitsch\Anwendungsdaten\Mozilla\Firefox\Profiles\yiec3cwt.default\extensions
[2010.12.12 16:10:11 | 000,000,000 | ---D | M] (FireFTP) -- C:\Dokumente und Einstellungen\Mitsch\Anwendungsdaten\Mozilla\Firefox\Profiles\yiec3cwt.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}
[2010.12.12 16:10:09 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Mitsch\Anwendungsdaten\Mozilla\Firefox\Profiles\yiec3cwt.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.06.30 16:25:42 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\Mitsch\Anwendungsdaten\Mozilla\Firefox\Profiles\yiec3cwt.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2010.12.14 20:10:22 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.05.16 12:47:14 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.08.25 07:21:48 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.11.29 21:58:44 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2007.03.02 14:17:24 | 000,095,200 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\NPAPIX.dll
[2010.09.15 04:50:38 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2007.01.17 12:18:04 | 000,095,200 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\NPFluxBrowserHelper.dll
[2007.09.07 15:25:50 | 000,103,064 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\NPMPDRM.dll
[2007.09.07 14:46:48 | 000,098,968 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\NPWMDRMWrapper.dll
[2010.10.10 09:56:39 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.10.10 09:56:39 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.10.10 09:56:39 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.10.10 09:56:39 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.10.10 09:56:39 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.12.14 19:02:14 | 000,000,027 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Download Manager Browser Helper Object) - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\Programme\Gemeinsame Dateien\fluxDVD\Download Manager\XEBDLHelper.dll (Protect Software GmbH)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [Mobile Connectivity Suite] C:\Programme\HTC\HTC Sync\Application Launcher\Application Launcher.exe (Teleca Sweden AB)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [VTPreset] C:\WINXP\System32\VTPreset.exe (S3 Graphics, Inc.)
O4 - HKCU..\Run: [MultiScreen] C:\Programme\MultiScreen\MultiScreen.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecentDocsNetHood = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINXP\System32\GPhotos.scr (Google Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Mitsch\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Mitsch\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.10.17 05:37:21 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.02.11 03:52:34 | 000,000,054 | R--- | M] () - D:\autorun.inf -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk /r \??\G:) -  File not found
O34 - HKLM BootExecute: (autocheck autochk /r \??\F:) -  File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: UxTuneUp - C:\WINXP\system32\uxtuneup.dll (TuneUp Software)
NetSvcs: WmdmPmSp -  File not found
NetSvcs: wuauserv - C:\WINDOWS\system32\wuauserv.dll File not found
 
Drivers32: midi - C:\WINXP\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINXP\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINXP\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.ac3filter - C:\WINXP\System32\ac3filter.acm ()
Drivers32: msacm.iac2 - C:\WINXP\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.imaadpcm - C:\WINXP\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\WINXP\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\WINXP\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINXP\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINXP\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINXP\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINXP\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINXP\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINXP\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINXP\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.ffds - C:\WINXP\System32\ffdshow.ax ()
Drivers32: vidc.I420 - C:\WINXP\System32\i420vfw.dll (www.helixcommunity.org)
Drivers32: vidc.iv31 - C:\WINXP\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINXP\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINXP\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINXP\System32\ir50_32.dll (Intel Corporation)
Drivers32: vidc.iyuv - C:\WINXP\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINXP\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINXP\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINXP\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINXP\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: vidc.uyvy - C:\WINXP\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yuy2 - C:\WINXP\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvu9 - C:\WINXP\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvyu - C:\WINXP\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINXP\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINXP\System32\msacm32.drv (Microsoft Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16620634377289728)
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2010.12.14 19:36:34 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.12.14 19:00:04 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Mitsch\Recent
[2010.12.14 18:54:35 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010.12.14 18:51:27 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINXP\SWXCACLS.exe
[2010.12.14 18:51:27 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINXP\SWREG.exe
[2010.12.14 18:51:27 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINXP\SWSC.exe
[2010.12.14 18:51:27 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINXP\NIRCMD.exe
[2010.12.14 18:51:18 | 000,000,000 | ---D | C] -- C:\WINXP\ERDNT
[2010.12.14 18:50:37 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.12.13 19:47:47 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mitsch\Desktop\OTL.exe
[2010.12.12 16:35:26 | 000,000,000 | ---D | C] -- C:\WINXP\System32\NtmsData
[2010.12.12 16:30:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mitsch\Anwendungsdaten\Avira
[2010.12.12 16:25:12 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\ssmdrv.sys
[2010.12.12 16:25:10 | 000,135,096 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avipbb.sys
[2010.12.12 16:25:10 | 000,061,960 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntflt.sys
[2010.12.12 16:25:10 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntdd.sys
[2010.12.12 16:25:10 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntmgr.sys
[2010.12.12 16:25:09 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2010.12.12 16:25:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2010.12.12 16:13:01 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.12.12 10:42:14 | 000,000,000 | ---D | C] -- C:\WINXP\pss
[2010.11.29 21:58:41 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINXP\System32\javaws.exe
[2010.11.29 21:58:41 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINXP\System32\javaw.exe
[2010.11.29 21:58:41 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINXP\System32\java.exe
[2010.11.23 19:07:10 | 000,000,000 | ---D | C] -- C:\Programme\MultiScreen
[2010.11.23 18:52:24 | 000,000,000 | ---D | C] -- C:\Program Files
[2010.11.23 18:50:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mitsch\WINDOWS
[2010.11.23 18:50:49 | 000,000,000 | ---D | C] -- C:\S3Graphics
[2004.11.24 20:25:52 | 000,335,872 | ---- | C] ( ) -- C:\WINXP\System32\drvc.dll
[3 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2010.12.14 21:00:00 | 000,000,494 | ---- | M] () -- C:\WINXP\tasks\1-Klick-Wartung.job
[2010.12.14 20:17:00 | 000,001,088 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineUA.job
[2010.12.14 19:32:10 | 000,089,088 | ---- | M] () -- C:\WINXP\System32\mbr.exe
[2010.12.14 19:02:14 | 000,000,027 | ---- | M] () -- C:\WINXP\System32\drivers\etc\hosts
[2010.12.14 19:02:02 | 000,001,084 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job
[2010.12.14 19:01:13 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2010.12.14 19:01:11 | 1308,151,808 | -HS- | M] () -- C:\hiberfil.sys
[2010.12.14 18:54:43 | 000,000,333 | RHS- | M] () -- C:\boot.ini
[2010.12.14 18:48:43 | 003,989,479 | R--- | M] () -- C:\Dokumente und Einstellungen\Mitsch\Desktop\Combo-Fix.exe
[2010.12.14 07:18:35 | 000,166,400 | ---- | M] () -- C:\Dokumente und Einstellungen\Mitsch\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.12.13 20:42:08 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Mitsch\Desktop\GMER_z88ck24k.exe
[2010.12.13 20:22:39 | 000,000,447 | ---- | M] () -- C:\Dokumente und Einstellungen\Mitsch\Desktop\Verknüpfung mit Desktop.lnk
[2010.12.13 19:22:26 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mitsch\Desktop\OTL.exe
[2010.12.12 19:33:13 | 000,002,433 | ---- | M] () -- C:\Dokumente und Einstellungen\Mitsch\Desktop\HiJackThis.lnk
[2010.12.12 16:20:43 | 058,849,392 | ---- | M] () -- C:\Dokumente und Einstellungen\Mitsch\Desktop\avira_antivir_personal_de.exe
[2010.12.12 16:12:29 | 001,402,880 | ---- | M] () -- C:\Dokumente und Einstellungen\Mitsch\Desktop\HiJackThis.msi
[2010.12.12 12:34:22 | 000,001,747 | ---- | M] () -- C:\WINXP\QUICKEN.INI
[2010.12.12 11:52:09 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2010.12.10 19:58:00 | 000,000,276 | ---- | M] () -- C:\WINXP\tasks\AppleSoftwareUpdate.job
[2010.12.09 18:28:55 | 000,344,740 | ---- | M] () -- C:\Dokumente und Einstellungen\Mitsch\Desktop\F10_visor_map_6_22_09.pdf
[2010.12.03 16:07:38 | 000,000,899 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Firstload Ikarus.lnk
[2010.11.30 18:48:22 | 000,135,096 | ---- | M] (Avira GmbH) -- C:\WINXP\System32\drivers\avipbb.sys
[2010.11.30 18:13:03 | 000,061,960 | ---- | M] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntflt.sys
[2010.11.25 09:47:59 | 000,000,069 | ---- | M] () -- C:\WINXP\NeroDigital.ini
[2010.11.23 19:07:11 | 000,001,343 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MultiScreen.lnk
[3 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2010.12.14 21:08:43 | 000,000,686 | ---- | C] () -- C:\Dokumente und Einstellungen\Mitsch\mbr.log
[2010.12.14 19:32:09 | 000,089,088 | ---- | C] () -- C:\WINXP\System32\mbr.exe
[2010.12.14 18:54:43 | 000,000,217 | ---- | C] () -- C:\Boot.bak
[2010.12.14 18:54:38 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2010.12.14 18:51:27 | 000,256,512 | ---- | C] () -- C:\WINXP\PEV.exe
[2010.12.14 18:51:27 | 000,098,816 | ---- | C] () -- C:\WINXP\sed.exe
[2010.12.14 18:51:27 | 000,089,088 | ---- | C] () -- C:\WINXP\MBR.exe
[2010.12.14 18:51:27 | 000,080,412 | ---- | C] () -- C:\WINXP\grep.exe
[2010.12.14 18:51:27 | 000,068,096 | ---- | C] () -- C:\WINXP\zip.exe
[2010.12.14 18:48:36 | 003,989,479 | R--- | C] () -- C:\Dokumente und Einstellungen\Mitsch\Desktop\Combo-Fix.exe
[2010.12.13 20:48:41 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\Mitsch\Desktop\GMER_z88ck24k.exe
[2010.12.13 20:22:39 | 000,000,447 | ---- | C] () -- C:\Dokumente und Einstellungen\Mitsch\Desktop\Verknüpfung mit Desktop.lnk
[2010.12.12 16:18:21 | 058,849,392 | ---- | C] () -- C:\Dokumente und Einstellungen\Mitsch\Desktop\avira_antivir_personal_de.exe
[2010.12.12 16:13:02 | 000,002,433 | ---- | C] () -- C:\Dokumente und Einstellungen\Mitsch\Desktop\HiJackThis.lnk
[2010.12.12 16:12:27 | 001,402,880 | ---- | C] () -- C:\Dokumente und Einstellungen\Mitsch\Desktop\HiJackThis.msi
[2010.12.09 18:28:55 | 000,344,740 | ---- | C] () -- C:\Dokumente und Einstellungen\Mitsch\Desktop\F10_visor_map_6_22_09.pdf
[2010.11.23 19:07:11 | 000,001,343 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MultiScreen.lnk
[2010.04.18 00:51:37 | 000,165,376 | ---- | C] () -- C:\WINXP\System32\unrar.dll
[2009.09.19 16:39:06 | 000,001,208 | ---- | C] () -- C:\WINXP\mgxoschk.ini
[2008.12.29 12:42:45 | 000,000,000 | ---- | C] () -- C:\WINXP\Dssole.INI
[2008.12.29 12:42:41 | 000,045,056 | ---- | C] () -- C:\WINXP\System32\DM1USBAPIVB.dll
[2008.12.22 16:09:23 | 000,116,224 | ---- | C] () -- C:\WINXP\System32\redmonnt.dll
[2008.12.19 16:15:58 | 004,338,246 | ---- | C] () -- C:\WINXP\System32\libavcodec.dll
[2008.12.17 18:41:18 | 000,884,237 | ---- | C] () -- C:\WINXP\System32\ff_x264.dll
[2008.12.17 18:22:58 | 000,093,184 | ---- | C] () -- C:\WINXP\System32\ff_wmv9.dll
[2008.12.17 18:22:48 | 000,057,344 | ---- | C] () -- C:\WINXP\System32\ff_vfw.dll
[2008.12.17 18:17:34 | 000,239,247 | ---- | C] () -- C:\WINXP\System32\ff_theora.dll
[2008.12.17 17:59:54 | 000,560,802 | ---- | C] () -- C:\WINXP\System32\libmplayer.dll
[2008.11.04 15:44:37 | 000,000,126 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2008.10.19 12:09:06 | 000,000,034 | ---- | C] () -- C:\WINXP\System32\oeminfo.ini
[2008.10.18 11:45:46 | 000,027,648 | ---- | C] () -- C:\WINXP\System32\AVSredirect.dll
[2008.08.07 18:45:38 | 002,924,544 | ---- | C] () -- C:\Programme\Gemeinsame DateienDDBACSetup.msi
[2008.05.26 21:11:45 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Mitsch\Anwendungsdaten\$_hpcst$.hpc
[2008.03.31 18:55:12 | 000,000,353 | ---- | C] () -- C:\WINXP\tm.ini
[2007.10.19 15:12:43 | 000,000,151 | ---- | C] () -- C:\WINXP\PhotoSnapViewer.INI
[2007.10.18 20:11:11 | 000,000,025 | ---- | C] () -- C:\WINXP\cdplayer.ini
[2007.10.18 19:48:37 | 000,237,568 | ---- | C] () -- C:\WINXP\System32\lame_enc.dll
[2007.10.18 16:27:27 | 000,000,019 | ---- | C] () -- C:\WINXP\LxRegi.INI
[2007.10.18 06:40:22 | 000,000,397 | ---- | C] () -- C:\WINXP\ODBC.INI
[2007.10.17 22:32:55 | 000,221,239 | ---- | C] () -- C:\WINXP\System32\dnt24.dll
[2007.10.17 22:32:55 | 000,077,882 | ---- | C] () -- C:\WINXP\System32\dntvmc24.dll
[2007.10.17 22:32:55 | 000,069,689 | ---- | C] () -- C:\WINXP\System32\dntvm24.dll
[2007.10.17 22:32:39 | 000,001,747 | ---- | C] () -- C:\WINXP\QUICKEN.INI
[2007.10.17 22:32:39 | 000,000,052 | ---- | C] () -- C:\WINXP\Intuprof.ini
[2007.10.17 20:35:50 | 000,000,069 | ---- | C] () -- C:\WINXP\NeroDigital.ini
[2007.10.17 19:55:34 | 000,032,768 | ---- | C] () -- C:\WINXP\System32\UnAudioNT.dll
[2007.10.17 19:48:00 | 000,086,016 | ---- | C] () -- C:\WINXP\System32\install.dll
[2007.10.17 18:23:41 | 000,166,400 | ---- | C] () -- C:\Dokumente und Einstellungen\Mitsch\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.10.17 06:28:25 | 000,004,073 | ---- | C] () -- C:\WINXP\ODBCINST.INI
[2004.10.03 18:50:54 | 000,129,024 | ---- | C] () -- C:\WINXP\System32\ff_mpeg2enc.dll
[2003.04.28 02:03:58 | 000,491,077 | ---- | C] () -- C:\WINXP\System32\QCONNECT.DLL
[2001.11.14 03:34:20 | 000,071,168 | ---- | C] () -- C:\WINXP\System32\lexlelm.dll
[1999.02.12 14:00:00 | 000,000,655 | ---- | C] () -- C:\WINXP\LEXSTAT.INI
[1999.01.22 18:46:58 | 000,065,536 | ---- | C] () -- C:\WINXP\System32\MSRTEDIT.DLL
[1998.09.01 16:10:20 | 000,164,864 | ---- | C] () -- C:\WINXP\System32\LDEPCL32.DLL
[1997.06.17 14:07:50 | 000,328,704 | ---- | C] () -- C:\WINXP\System32\DOSFNT32.DLL
 
[color=#E56717]========== Custom Scans ==========[/color]
 
 
[color=#A23BEC]< %SYSTEMDRIVE%\*.* >[/color]
[2007.10.17 05:37:21 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2008.06.01 18:26:36 | 000,000,217 | ---- | M] () -- C:\Boot.bak
[2010.12.14 18:54:43 | 000,000,333 | RHS- | M] () -- C:\boot.ini
[2001.08.23 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2004.08.03 23:00:10 | 000,262,448 | RHS- | M] () -- C:\cmldr
[2007.10.17 05:37:21 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2009.02.01 21:18:29 | 000,027,004 | ---- | M] () -- C:\drwtsn32.log
[2010.11.19 14:38:25 | 000,005,307 | ---- | M] () -- C:\fpRedmon.log
[2010.12.14 19:01:11 | 1308,151,808 | -HS- | M] () -- C:\hiberfil.sys
[2010.10.31 15:15:15 | 000,000,279 | ---- | M] () -- C:\hpfr3600.log
[2007.10.17 05:37:21 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2009.04.15 18:56:05 | 000,000,044 | ---- | M] () -- C:\LexLeLm.log
[2010.12.14 21:08:43 | 000,000,686 | ---- | M] () -- C:\mbr.log
[2007.10.17 05:37:21 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2010.12.12 12:38:02 | 000,000,191 | ---- | M] () -- C:\mwmlog.txt
[2004.08.03 21:38:34 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2004.08.03 21:59:48 | 000,251,184 | RHS- | M] () -- C:\ntldr
[2010.12.14 19:01:10 | 352,321,536 | -HS- | M] () -- C:\pagefile.sys
[2008.02.07 18:44:16 | 000,000,186 | ---- | M] () -- C:\picsetup.log
 
[color=#A23BEC]< %systemroot%\system32\*.wt >[/color]
 
[color=#A23BEC]< %systemroot%\system32\*.ruy >[/color]
 
[color=#A23BEC]< %systemroot%\Fonts\*.com >[/color]
 
[color=#A23BEC]< %systemroot%\Fonts\*.dll >[/color]
 
[color=#A23BEC]< %systemroot%\Fonts\*.ini >[/color]
[2007.10.17 05:36:44 | 000,000,067 | -HS- | M] () -- C:\WINXP\Fonts\desktop.ini
 
[color=#A23BEC]< %systemroot%\Fonts\*.ini2 >[/color]
 
[color=#A23BEC]< %systemroot%\system32\spool\prtprocs\w32x86\*.* >[/color]
[2001.11.16 14:16:38 | 000,073,728 | ---- | M] () -- C:\WINXP\system32\spool\prtprocs\w32x86\LEXFPP.DLL
 
[color=#A23BEC]< %systemroot%\REPAIR\*.bak1 >[/color]
 
[color=#A23BEC]< %systemroot%\REPAIR\*.ini >[/color]
 
[color=#A23BEC]< %systemroot%\system32\*.jpg >[/color]
 
[color=#A23BEC]< %systemroot%\*.scr >[/color]
 
[color=#A23BEC]< %systemroot%\*._sy >[/color]
 
[color=#A23BEC]< %APPDATA%\Adobe\Update\*.* >[/color]
 
[color=#A23BEC]< %ALLUSERSPROFILE%\Favorites\*.* >[/color]
 
[color=#A23BEC]< %APPDATA%\Microsoft\*.* >[/color]
 
[color=#A23BEC]< %PROGRAMFILES%\*.* >[/color]
[2008.08.07 18:45:39 | 002,924,544 | ---- | M] () -- C:\Programme\Gemeinsame DateienDDBACSetup.msi
 
[color=#A23BEC]< %APPDATA%\Update\*.* >[/color]
 
[color=#A23BEC]< %systemroot%\*. /mp /s >[/color]
 
[color=#A23BEC]< %systemroot%\system32\*.dll /lockedfiles >[/color]
[1 C:\WINXP\system32\*.tmp files -> C:\WINXP\system32\*.tmp -> ]
 
[color=#A23BEC]< %systemroot%\Tasks\*.job /lockedfiles >[/color]
 
[color=#A23BEC]< %systemroot%\System32\config\*.sav >[/color]
[2007.10.17 07:26:31 | 000,094,208 | ---- | M] () -- C:\WINXP\system32\config\default.sav
[2007.10.17 07:26:31 | 000,663,552 | ---- | M] () -- C:\WINXP\system32\config\software.sav
[2007.10.17 07:26:31 | 000,413,696 | ---- | M] () -- C:\WINXP\system32\config\system.sav
 
[color=#A23BEC]< %systemroot%\system32\user32.dll /md5 >[/color]
[2007.10.09 19:06:46 | 000,579,584 | ---- | M] (Microsoft Corporation) MD5=78785EFF8CB90CEC1862A4CCFD9A3C3A -- C:\WINXP\system32\user32.dll
[1 C:\WINXP\system32\*.tmp files -> C:\WINXP\system32\*.tmp -> ]
 
[color=#A23BEC]< %systemroot%\system32\ws2_32.dll /md5 >[/color]
[2004.08.03 23:57:40 | 000,082,944 | ---- | M] (Microsoft Corporation) MD5=D569240A22421D5F670BB6FB6DD522B5 -- C:\WINXP\system32\ws2_32.dll
[1 C:\WINXP\system32\*.tmp files -> C:\WINXP\system32\*.tmp -> ]
 
[color=#A23BEC]< %systemroot%\system32\ws2help.dll /md5 >[/color]
[2004.08.03 23:57:40 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=B3ADA72D1E3E10A8F6430669DFC38ED0 -- C:\WINXP\system32\ws2help.dll
[1 C:\WINXP\system32\*.tmp files -> C:\WINXP\system32\*.tmp -> ]
 
 
[color=#A23BEC]< MD5 for: EXPLORER.EXE  >[/color]
[2007.10.09 19:05:16 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINXP\ERDNT\cache\explorer.exe
[2007.10.09 19:05:16 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINXP\explorer.exe
 
[color=#A23BEC]< MD5 for: WINLOGON.EXE  >[/color]
[2004.08.03 23:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINXP\ERDNT\cache\winlogon.exe
[2004.08.03 23:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINXP\system32\winlogon.exe
 
[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >[/color]
 
[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >[/color]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2008-04-12 10:34:30
 
[color=#E56717]========== Alternate Data Streams ==========[/color]
 
@Alternate Data Stream - 156 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2

< End of report >

14.12.2010, 22:19

Swisstreasure

Moderator

Beiträge: 5694

#11 Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf)

Lade Malwarebytes Anti-Malware (ca. 2 MB) von diesem Downloadspiegel herunter:

Malwarebytes

* Anwendbar auf Windows 2000, XP, Vista und Windows 7.
* Installiere das Programm in den vorgegebenen Pfad.
* Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
* Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
* Aktiviere "Komplett Scan durchführen" => Scan.
* Wähle alle verfügbaren Laufwerke aus und starte den Scan.
* Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
* Bei Funden in C:\System Volume Information den Haken entfernen.
Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
Er könnte jedoch trotz Malware noch gebraucht werden.
* Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen".
* Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
* Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
* Berichte, wie der Rechner nun läuft.

15.12.2010, 10:08

mitch110

Member

Themenstarter

Beiträge: 23

#12 ..vollständigen Systemscan mit Malwarebytes durchgeführt. Anbei erst einmal das log:

Code

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5317

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

15.12.2010 10:05:20
mbam-log-2010-12-15 (10-05-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Durchsuchte Objekte: 198897
Laufzeit: 1 Stunde(n), 9 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\4RBPZMXX4S (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Mitsch\lokale einstellungen\anwendungsdaten\Mozilla\Firefox\Profiles\yiec3cwt.default\Cache\09141237d01 (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Mitsch\lokale einstellungen\anwendungsdaten\Mozilla\Firefox\Profiles\yiec3cwt.default\Cache\5c16927cd01 (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\WINXP\tjoxea.exe.vir (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\WINXP\system32\sshnas21.dll.vir (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{2512bdad-4f44-4147-93aa-6aff792de719}\RP410\A0193665.dll (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{2512bdad-4f44-4147-93aa-6aff792de719}\RP410\A0193666.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.

Werde jetzt mal schauen wie der Rechner läuft und poste dann...
Gruß Mitch

15.12.2010, 10:46

mitch110

Member

Themenstarter

Beiträge: 23

#13 Hallo Swiss, hab gerade mal den rechner neugestartet und bekomme folgende Meldung:

"mbam.exe - fehler in anwendung
die anweisung in 0x10003691 verweist auf den speicher in 0x00000000. der vorgang read konnte nicht auf dem speicher durchgeführt werden"
Klicke ok und
dann folgt eine meldung:
"malwarebytes hat ein problem festgestellt und muss beendet werden."

Beim nochmaligen startvrogang sind diese Meldungen nicht mehr aufgetreten !!!

zum runtefahren muss ich zweimal start/ausschalten betätigen (das war aber auch bereits seit der infektion so) und beim hochfahren bleibt er mit blinkendem cursor irgendwann stehen (dies ist neu).
nach nochmaligem aus- und wieder einschalten fährt er dann hoch - hierbei hängt er aber auch eine weile an dem benannten blinkendem cursor.

die automatischen explorerstarts (ursprung des übels) sind übrigens nicht mehr vorhanden.
irgendwie alles merkwürdig !?

15.12.2010, 12:16

Swisstreasure

Moderator

Beiträge: 5694

#14 Die Fehlermneldng hat mit Malwarebytes zu tun.

Was hast Du denn aktuell noch für Probleme und Meldungen?

15.12.2010, 12:55

mitch110

Member

Themenstarter

Beiträge: 23

#15 ..außer den Problemen beim Start und Beenden wird aktuell keine Ferhlermeldung mehr ausgewiesen. Hast Du vielleicht für diese Probleme auch eine Lösung...?

Gruß Mitch

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2 3