Trojaner: system-plugin an der adresse ... Kritischer fehler

Sib123 · 17.06.2011, 17:47

Hallo,
Ich hab mir vor 2 tagen einen blöden trojaner eingefange..
Der pc läd hoch und dann kommt ein blauer bildschirm mit folgendem inhalt:
System plugin an der adresse 0xE4783995 kritischer fehler wurde, folgen sie bitte diesen schritten, um sie zu deaktivieren.

1. Rufen sie eines der folgenden nr. an
(da stehn dann ca. 10 nummern)

2. Kennung vom anruf merken und in die lücken bei 3. Eintippen.

Ich hab das ganze auch im abgesicherten modus getan, kommt aber das selbe bildschirm

Da ich wichtige datein, bilder etc auf dem pc habe, möchte ich es nicht neu formatieren.....

Ich hoffe ihr könnt mir helfen.. Vielen Dank im voraus!

markusg · 17.06.2011, 17:56

hi, blos nicht anrufen!
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade

OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Sib123 · 20.06.2011, 14:52

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 6/20/2011 1:17:42 AM - Run 
OTLPE by OldTimer - Version 3.1.46.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.00 Gb Total Physical Memory | 1.00 Gb Available Physical Memory | 82.00% Memory free
1.00 Gb Paging File | 1.00 Gb Available in Paging File | 95.00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 144.77 Gb Total Space | 107.34 Gb Free Space | 74.15% Space Free | Partition Type: NTFS
Drive H: | 4.26 Gb Total Space | 0.63 Gb Free Space | 14.68% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto] --  -- (KwinzySrch Service)
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2011/06/14 19:27:00 | 000,507,392 | ---- | M] (Simon Tatham) [Auto] -- C:\WINDOWS\system32\sshnas21.dll -- (SSHNAS)
SRV - [2011/06/14 19:26:52 | 000,197,632 | ---- | M] (ke) [Auto] -- C:\WINDOWS\system32\drivers\svajnager.exe -- (svajnag)
SRV - [2010/10/15 19:40:40 | 000,037,664 | -H-- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2009/09/29 10:18:42 | 000,809,736 | -H-- | M] (ABBYY) [Auto] -- C:\Programme\Gemeinsame Dateien\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe -- (ABBYY.Licensing.FineReader.Professional.10.0)
SRV - [2009/08/05 16:43:53 | 000,185,089 | -H-- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009/06/11 06:48:11 | 000,108,289 | -H-- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009/05/14 12:07:12 | 000,759,048 | -H-- | M] (ABBYY) [Auto] -- C:\Programme\Gemeinsame Dateien\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe -- (ABBYY.Licensing.FineReader.Professional.9.0)
SRV - [2009/04/30 10:01:10 | 000,154,136 | -H-- | M] (Logitech Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe -- (LVPrcSrv)
SRV - [2008/11/03 20:06:28 | 000,441,712 | -H-- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006/10/26 09:03:08 | 000,145,184 | -H-- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006/03/03 16:03:10 | 000,069,632 | -H-- | M] (HP) [Auto] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)
SRV - [2005/10/19 13:19:10 | 000,049,152 | -H-- | M] (Alpha Networks Inc.) [Auto] -- C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe -- (ANIWZCSdService)
SRV - [2005/08/09 06:27:56 | 001,019,904 | -H-- | M] (Language Engineering Corporation, LLC) [On_Demand] -- C:\Programme\Power Translator 10\LogoMedia TranslateDotNet Server.exe -- (LEC TranslateDotNet Server)
SRV - [2004/08/03 15:00:00 | 000,072,192 | ---- | M] () [Auto] -- C:\WINDOWS\system32\wfwfrncl.dll -- (nomxhkvc)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (ZSMC301b)
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand] --  -- (NSNDIS5)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (intelppm)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2009/12/07 15:42:36 | 000,056,816 | -H-- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009/06/11 06:48:11 | 000,028,520 | -H-- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/05/24 07:05:36 | 000,096,104 | -H-- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009/04/30 19:03:30 | 000,023,832 | RH-- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvuvcflt.sys -- (FilterService)
DRV - [2009/04/30 19:03:08 | 006,754,712 | RH-- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvuvc.sys -- (LVUVC) Logitech Webcam 250(UVC)
DRV - [2009/04/30 19:01:36 | 000,265,496 | RH-- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvrs.sys -- (LVRS)
DRV - [2009/04/30 19:00:00 | 000,114,712 | RH-- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvpopflt.sys -- (lvpopflt)
DRV - [2009/04/30 10:00:12 | 000,025,624 | -H-- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LVPr2Mon.sys -- (LVPr2Mon)
DRV - [2009/02/13 05:35:01 | 000,011,608 | -H-- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2006/01/10 13:54:22 | 001,421,312 | -H-- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2005/12/12 11:27:00 | 000,019,072 | -H-- | M] (Hewlett-Packard Company) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\PS2.sys -- (Ps2)
DRV - [2005/11/09 10:44:48 | 000,024,288 | -H-- | M] (Alpha Networks Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\ANIO.sys -- (ANIO)
DRV - [2005/11/03 15:39:02 | 000,245,504 | -H-- | M] (Ralink Technology, Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Dr71WU.sys -- (RT73)
DRV - [2004/11/30 21:54:56 | 000,306,560 | -H-- | M] (PCTEL Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\PCTELSAP.SYS -- (PRISM_A00)
DRV - [2004/10/27 23:40:30 | 000,335,360 | -H-- | M] (ASUSTek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Cap7134.sys -- (Cap7134)
DRV - [2004/10/24 18:35:00 | 000,024,544 | -H-- | M] (ASUSTek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\PhTVTune.sys -- (PhTVTune)
DRV - [2004/10/01 20:24:02 | 002,279,424 | -H-- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2004/08/04 07:31:36 | 000,032,768 | -H-- | M] (SiS Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sisnic.sys -- (SISNIC)
DRV - [2003/09/19 02:47:00 | 000,010,368 | -H-- | M] (Padus, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\pfc.sys -- (Pfc)
DRV - [2002/10/04 20:04:10 | 000,046,976 | -H-- | M] (Realtek Semiconductor Corporation       ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\R8139n51.sys -- (rtl8139)
DRV - [2002/07/17 04:05:10 | 000,016,512 | -H-- | M] (Adaptec) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ASPI32.SYS -- (ASPI)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.arcor.de
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "AutoConfigURL" = file://C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\ws.js
 
 
IE - HKU\HP_Besitzer_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
IE - HKU\HP_Besitzer_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
IE - HKU\HP_Besitzer_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\HP_Besitzer_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de-de.facebook.com/
IE - HKU\HP_Besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\HP_Besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
FF - HKLM\software\mozilla\Firefox\extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\WINDOWS\system32\5016 [2011/06/08 16:15:37 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\extensions\\{E2E00CDE-7A12-4050-A7CA-68FC8218FA2C}: C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\{E2E00CDE-7A12-4050-A7CA-68FC8218FA2C} [2011/05/07 17:43:42 | 000,000,000 | -H-D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010/11/15 18:02:49 | 000,000,000 | -H-D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010/11/15 18:02:48 | 000,000,000 | -H-D | M]
 
[2011/01/14 13:30:04 | 000,000,000 | -H-D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2009/09/30 16:14:30 | 000,000,000 | -H-D | M] (Kwinzy) -- C:\Programme\Mozilla Firefox\extensions\{52EF0988-5232-4465-86E7-6434B5891030}
[2010/03/31 08:19:29 | 000,001,392 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010/03/31 08:19:29 | 000,002,344 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009/09/30 16:14:32 | 000,002,381 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\kwinzy141.xml
[2010/03/31 08:19:30 | 000,006,805 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010/03/31 08:19:30 | 000,000,986 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010/03/31 08:19:30 | 000,000,801 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009/09/06 13:46:23 | 000,000,822 | -H-- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {25205a8b-f8c9-eae0-ac68-c8f868bfc8ed} -  File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll (Google Inc.)
O2 - BHO: (Adobe PDF Reader Link Helper) - {C689C99E-3A8C-4c87-A79C-C80DC9C81632} -  File not found
O2 - BHO: (PriceGongCtrl Class) - {D2A2595C-4FE4-4315-AA9B-19DBD6271B71} - C:\Programme\PriceGong\1.2.0\PriceGongIE.dll (PriceGong)
O2 - BHO: () - {D55EE90F-E559-192B-44B5-5093633BE561} - C:\WINDOWS\system32\wfwfrncl.dll ()
O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
O3 - HKLM\..\Toolbar: (LEC) - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator 10\Applications\LEC IE Translation Extension.dll (Language Engineering Corporation, LLC)
O3 - HKLM\..\Toolbar: (HP-Ansicht) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll (Hewlett-Packard Company)
O3 - HKU\Administrator.KAVEI-DELAMY_ON_C\..\Toolbar\ShellBrowser: (HP-Ansicht) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll (Hewlett-Packard Company)
O3 - HKU\Administrator.KAVEI-DELAMY_ON_C\..\Toolbar\WebBrowser: (HP-Ansicht) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll (Hewlett-Packard Company)
O3 - HKU\HP_Besitzer_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\HP_Besitzer_ON_C\..\Toolbar\ShellBrowser: (HP-Ansicht) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll (Hewlett-Packard Company)
O3 - HKU\HP_Besitzer_ON_C\..\Toolbar\WebBrowser: (HP-Ansicht) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll (Hewlett-Packard Company)
O4 - HKLM..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe (Alpha Networks Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Bonus.SSR.FR10] C:\Programme\ABBYY FineReader 10\Bonus.ScreenshotReader.exe (ABBYY.)
O4 - HKLM..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe (D-Link)
O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [LogitechQuickCamRibbon] C:\Programme\Logitech\Logitech WebCam Software\LWS.exe ()
O4 - HKLM..\Run: [LSBWatcher] C:\hp\drivers\hplsbwatcher\LSBurnWatcher.exe (Hewlett-Packard Company)
O4 - HKLM..\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe ()
O4 - HKLM..\Run: [Prunan]  File not found
O4 - HKLM..\Run: [Recguard] C:\WINDOWS\SMINST\Recguard.exe ()
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [WINREMOTE] C:\Programme\InterVideo\Common\Bin\WinRemote.exe (InterVideo Inc.)
O4 - HKU\.DEFAULT..\Run: [9E6XYH0W3DYGZF8EYRDJ] C:\iduhsfuisdf\28ED2723A64.exe (Trend Micro Inc.)
O4 - HKU\.DEFAULT..\Run: [Reguser]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [{89D799AA-D7BD-2B63-95D8-22FDF939AC13}]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [{D7730D81-867F-4376-00F2-B0F54AA3700B}] C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Emus\foky.exe (Mozilla Foundation)
O4 - HKU\HP_Besitzer_ON_C..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe ()
O4 - HKU\HP_Besitzer_ON_C..\Run: [3EFB0E1E7E2F52CE]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [4E3E0230AEBB4E96]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [4ECYTQ9SIC] C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\Lqx.exe ()
O4 - HKU\HP_Besitzer_ON_C..\Run: [4W1W8B7A1IVJUZ4WRROJW]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [Logitech Vid] C:\Programme\Logitech\Logitech Vid\vid.exe (Logitech Inc.)
O4 - HKU\HP_Besitzer_ON_C..\Run: [NuHveRXdmtu]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [Recycle.Bin.exe]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [Reguser]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [Rrakogut]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [uckyfgec]  File not found
O4 - HKU\HP_Besitzer_ON_C..\Run: [Umzyzs] C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Umzyzs.exe ()
O4 - HKU\LocalService_ON_C..\Run: [4E3E0230AEBB4E96]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Microsoft Driver Setup = C:\WINDOWS\aadrive32.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator.KAVEI-DELAMY_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\HP_Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\HP_Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\HP_Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} hxxp://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab (MSN Photo Upload Tool)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} hxxp://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab (UnoCtrl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class)
O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} hxxp://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab (Windows Live Hotmail Photo Upload Tool)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe) - C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe (The OpenSSL Project, hxxp://www.openssl.org/)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\welcome.htm
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\welcome.htm
O27 - HKLM IFEO\userinit.exe: Debugger - defze.exe (Jur Software htt://Opapuqiqu.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004/11/03 04:05:56 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2001/07/28 06:07:38 | 000,000,000 | -HS- | M] () - H:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2004/04/30 22:01:14 | 000,000,053 | -HS- | M] () - H:\Autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{24f5f2aa-96d6-11d9-9feb-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{24f5f2aa-96d6-11d9-9feb-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{24f5f2aa-96d6-11d9-9feb-806d6172696f}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/06/14 19:28:13 | 000,000,000 | ---D | C] -- C:\spoolerlogs
[2011/06/14 19:27:00 | 000,507,392 | ---- | C] (Simon Tatham) -- C:\WINDOWS\System32\sshnas21.dll
[2011/06/14 19:26:52 | 000,197,632 | ---- | C] (ke) -- C:\WINDOWS\System32\drivers\svajnager.exe
[2011/06/14 19:26:23 | 000,061,490 | ---- | C] (The OpenSSL Project, hxxp://www.openssl.org/) -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe
[2011/06/14 19:26:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Emus
[2011/06/14 19:26:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Ecwuy
[2011/06/13 13:12:13 | 000,162,304 | ---- | C] (Macromedia, Inc.) -- C:\WINDOWS\System32\0.6973532258229606.exe
[2011/06/11 17:45:36 | 000,152,064 | ---- | C] (Macromedia, Inc.) -- C:\WINDOWS\System32\0.8468285401950438.exe
[2011/06/08 16:15:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5016
[2011/05/31 12:28:28 | 000,236,496 | ---- | C] (Adobe Systems, Incorporated) -- C:\WINDOWS\System32\AcroIEHelpe029.dll
[2011/05/30 11:36:54 | 000,061,440 | ---- | C] (Comp) -- C:\WINDOWS\System32\0.581376866970279.exe
[2011/05/30 10:00:10 | 000,161,280 | ---- | C] (Macromedia, Inc.) -- C:\WINDOWS\System32\0.21567625939442403.exe
[7 C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/06/19 18:08:24 | 000,000,258 | -H-- | M] () -- C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011/06/19 18:08:22 | 000,000,300 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011/06/19 18:08:18 | 000,000,300 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011/06/19 18:07:59 | 000,001,086 | -H-- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011/06/19 18:07:58 | 000,000,400 | -H-- | M] () -- C:\WINDOWS\tasks\PCConfidential.job
[2011/06/19 18:07:41 | 000,001,158 | -H-- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/06/19 18:07:39 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/06/19 18:07:35 | 1609,093,120 | -HS- | M] () -- C:\hiberfil.sys
[2011/06/17 12:26:03 | 000,001,090 | -H-- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011/06/17 12:21:00 | 000,000,360 | -H-- | M] () -- C:\WINDOWS\tasks\Check Updates for Windows Live Toolbar.job
[2011/06/14 19:44:43 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\_time
[2011/06/14 19:42:46 | 000,000,249 | -H-- | M] () -- C:\WINDOWS\System\hpsysdrv.dat
[2011/06/14 19:27:48 | 000,139,776 | RHS- | M] () -- C:\WINDOWS\aadrive32.exe
[2011/06/14 19:27:02 | 000,234,496 | ---- | M] () -- C:\WINDOWS\Lhynaa.exe
[2011/06/14 19:27:00 | 000,507,392 | ---- | M] (Simon Tatham) -- C:\WINDOWS\System32\sshnas21.dll
[2011/06/14 19:26:53 | 000,000,017 | ---- | M] () -- C:\WINDOWS\keys.ini
[2011/06/14 19:26:52 | 000,197,632 | ---- | M] (ke) -- C:\WINDOWS\System32\drivers\svajnager.exe
[2011/06/14 19:26:38 | 000,196,608 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Umzyzs.exe
[2011/06/14 19:26:19 | 000,061,490 | ---- | M] (The OpenSSL Project, hxxp://www.openssl.org/) -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe
[2011/06/13 13:12:14 | 000,162,304 | ---- | M] (Macromedia, Inc.) -- C:\WINDOWS\System32\0.6973532258229606.exe
[2011/06/13 13:12:05 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011/06/11 17:45:46 | 000,152,064 | ---- | M] (Macromedia, Inc.) -- C:\WINDOWS\System32\0.8468285401950438.exe
[2011/06/11 14:08:41 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\0.8005132598110744.exe
[2011/06/08 11:54:51 | 000,212,992 | ---- | M] () -- C:\WINDOWS\System32\0.3856541926551633.exe
[2011/06/08 11:54:51 | 000,212,992 | ---- | M] () -- C:\WINDOWS\System32\0.003789571132371994.exe
[2011/05/31 12:34:30 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\{A8BCEB87-3E87-4AB5-84BD-AF950002DD54}
[2011/05/31 12:28:28 | 000,236,496 | ---- | M] (Adobe Systems, Incorporated) -- C:\WINDOWS\System32\AcroIEHelpe029.dll
[2011/05/30 11:36:55 | 000,061,440 | ---- | M] (Comp) -- C:\WINDOWS\System32\0.581376866970279.exe
[2011/05/30 10:48:21 | 000,000,120 | -H-- | M] () -- C:\WINDOWS\Klipex.dat
[2011/05/30 10:48:21 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\Ywugofeginukif.bin
[2011/05/30 10:11:13 | 000,161,280 | ---- | M] (Macromedia, Inc.) -- C:\WINDOWS\System32\0.21567625939442403.exe
[2011/05/23 17:17:14 | 000,002,942 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\50cent.jpg
[2011/05/22 12:18:19 | 000,017,920 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\ijopj.wps
[7 C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/06/17 12:12:14 | 1609,093,120 | -HS- | C] () -- C:\hiberfil.sys
[2011/06/14 19:44:43 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\_time
[2011/06/14 19:27:57 | 000,139,776 | RHS- | C] () -- C:\WINDOWS\aadrive32.exe
[2011/06/14 19:27:24 | 000,234,496 | ---- | C] () -- C:\WINDOWS\Lhynaa.exe
[2011/06/14 19:27:21 | 000,000,300 | -H-- | C] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011/06/14 19:27:14 | 000,000,300 | -H-- | C] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011/06/14 19:27:09 | 000,000,258 | -H-- | C] () -- C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011/06/14 19:27:00 | 000,196,608 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Umzyzs.exe
[2011/06/14 19:26:53 | 000,000,017 | ---- | C] () -- C:\WINDOWS\keys.ini
[2011/06/11 14:08:41 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\0.8005132598110744.exe
[2011/06/08 11:54:47 | 000,212,992 | ---- | C] () -- C:\WINDOWS\System32\0.3856541926551633.exe
[2011/06/08 11:54:47 | 000,212,992 | ---- | C] () -- C:\WINDOWS\System32\0.003789571132371994.exe
[2011/05/31 12:34:14 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\{A8BCEB87-3E87-4AB5-84BD-AF950002DD54}
[2011/05/23 17:17:25 | 000,002,942 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\50cent.jpg
[2011/05/22 12:18:19 | 000,017,920 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\ijopj.wps
[2011/05/11 03:22:54 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\{92EDAD45-03D4-4A0E-8981-2EBFE810854B}
[2011/05/07 17:43:43 | 000,000,120 | -H-- | C] () -- C:\WINDOWS\Klipex.dat
[2011/05/07 17:43:43 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\Ywugofeginukif.bin
[2011/05/07 17:41:48 | 000,000,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\2gweorjqjutp92vjy9gake
[2011/04/08 14:53:14 | 000,018,692 | -HS- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\4pkdd17j52h322m0wdwe80gcx41k37ott
[2011/04/08 14:53:14 | 000,018,692 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4pkdd17j52h322m0wdwe80gcx41k37ott
[2011/03/15 13:11:04 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010/11/16 18:28:46 | 000,067,436 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2010/05/13 10:33:44 | 000,015,360 | -H-- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/04/27 15:40:19 | 000,000,144 | -H-- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/04/27 14:51:58 | 000,082,289 | RH-- | C] () -- C:\WINDOWS\System32\lvcoinst.ini
[2010/04/27 14:42:11 | 000,003,267 | -H-- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\uckyfgec.dat
[2010/04/27 14:41:32 | 000,004,874 | -H-- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\uckyfgec_navps.dat
[2010/04/25 15:32:07 | 000,000,141 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator.KAVEI-DELAMY\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/03/11 14:09:49 | 000,000,060 | -H-- | C] () -- C:\WINDOWS\wininit.ini
[2010/02/09 19:04:46 | 000,049,152 | -H-- | C] () -- C:\WINDOWS\System32\JJAKEn.dll
[2009/06/22 11:01:15 | 000,002,508 | -H-- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\$_hpcst$.hpc
[2009/05/08 04:13:04 | 000,013,584 | -H-- | C] () -- C:\WINDOWS\System32\drivers\iKeyLFT2.dll
[2009/04/30 10:00:12 | 000,025,624 | -H-- | C] () -- C:\WINDOWS\System32\drivers\LVPr2Mon.sys
[2009/04/16 18:10:04 | 000,571,090 | -H-- | C] () -- C:\WINDOWS\gecryptete.exe
[2008/12/09 11:23:13 | 000,047,616 | RHS- | C] () -- C:\WINDOWS\System32\appconf32.exe
[2008/07/30 14:41:56 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\nsreg.dat
[2008/03/03 15:57:02 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\MSDraw.ini
[2008/01/22 16:45:18 | 000,000,754 | -H-- | C] () -- C:\WINDOWS\WORDPAD.INI
[2008/01/03 17:02:26 | 000,077,824 | RH-- | C] () -- C:\WINDOWS\System32\HPZIDS01.dll
[2008/01/03 16:56:24 | 000,129,054 | -H-- | C] () -- C:\WINDOWS\hpoins11.dat.temp
[2008/01/03 16:56:24 | 000,011,634 | -H-- | C] () -- C:\WINDOWS\hpomdl11.dat.temp
[2007/12/24 15:39:22 | 000,129,024 | -H-- | C] () -- C:\WINDOWS\System32\AVERM.dll
[2007/12/24 15:39:22 | 000,028,672 | -H-- | C] () -- C:\WINDOWS\System32\AVEQT.dll
[2007/12/23 10:14:16 | 000,003,341 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2007/12/18 11:15:47 | 000,000,215 | -H-- | C] () -- C:\WINDOWS\holdemg.ini
[2007/12/16 10:28:16 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2007/11/09 16:42:05 | 000,129,054 | -H-- | C] () -- C:\WINDOWS\hpoins11.dat
[2007/09/27 11:25:25 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\FilmeFuerUnterwegs.INI
[2007/08/29 10:56:10 | 000,041,790 | -H-- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\wklnhst.dat
[2007/08/28 14:55:33 | 000,000,050 | -H-- | C] () -- C:\WINDOWS\cdplayer.ini
[2007/07/26 20:40:59 | 000,000,012 | -H-- | C] () -- C:\WINDOWS\bthservsdp.dat
[2007/07/14 11:26:04 | 000,272,128 | -H-- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2007/07/14 11:26:04 | 000,269,480 | -H-- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2007/07/14 11:26:04 | 000,034,478 | -H-- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2007/07/14 11:26:04 | 000,028,626 | -H-- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2007/07/14 11:25:57 | 000,004,490 | -H-- | C] () -- C:\WINDOWS\System32\oembios.dat
[2007/07/14 11:25:46 | 013,107,200 | -H-- | C] () -- C:\WINDOWS\System32\oembios.bin
[2007/07/14 11:25:43 | 000,152,832 | ---- | C] () -- C:\WINDOWS\System32\coufowzk.dat
[2007/07/14 11:25:43 | 000,136,960 | ---- | C] () -- C:\WINDOWS\System32\dvshvvyo.dat
[2007/07/14 11:25:43 | 000,072,192 | ---- | C] () -- C:\WINDOWS\System32\wfwfrncl.dll
[2007/07/14 11:25:43 | 000,034,048 | ---- | C] () -- C:\WINDOWS\System32\jeerqmsl.dat
[2007/07/14 11:25:33 | 000,000,741 | -H-- | C] () -- C:\WINDOWS\System32\noise.dat
[2007/07/14 11:24:50 | 000,014,336 | -H-- | C] () -- C:\WINDOWS\System32\msdmo(2).dll
[2007/07/14 11:24:38 | 000,673,088 | -H-- | C] () -- C:\WINDOWS\System32\mlang.dat
[2007/07/14 11:24:37 | 000,046,258 | -H-- | C] () -- C:\WINDOWS\System32\mib.bin
[2007/07/14 11:22:18 | 000,218,003 | -H-- | C] () -- C:\WINDOWS\System32\dssec.dat
[2007/07/14 11:19:20 | 000,001,804 | -H-- | C] () -- C:\WINDOWS\System32\dcache.bin
[2007/07/14 05:50:34 | 000,000,132 | -H-- | C] () -- C:\WINDOWS\ODBC.INI
[2007/04/19 16:33:37 | 000,011,634 | -H-- | C] () -- C:\WINDOWS\hpomdl11.dat
[2005/12/22 09:44:30 | 000,112,425 | -H-- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2005/11/16 13:21:34 | 000,002,048 | -H-- | C] () -- C:\WINDOWS\System32\drivers\rt73.bin
[2005/08/30 13:26:53 | 000,000,061 | -H-- | C] () -- C:\WINDOWS\smscfg.ini
[2005/08/30 12:59:14 | 000,013,844 | -H-- | C] () -- C:\WINDOWS\System32\CHODDI.SYS
[2005/08/30 12:59:09 | 000,045,056 | -H-- | C] () -- C:\WINDOWS\System32\hpreg.dll
[2005/08/30 12:52:28 | 000,204,800 | -H-- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2005/08/30 12:52:28 | 000,200,704 | -H-- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2005/08/30 12:52:28 | 000,192,512 | -H-- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2005/08/30 12:52:28 | 000,192,512 | -H-- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2005/08/30 12:52:28 | 000,188,416 | -H-- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2005/08/30 12:52:27 | 000,020,480 | -H-- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2005/08/30 12:45:22 | 000,104,131 | -H-- | C] () -- C:\WINDOWS\hpoins04.dat
[2005/08/30 12:45:22 | 000,016,939 | -H-- | C] () -- C:\WINDOWS\hpomdl04.dat
[2005/08/30 12:44:28 | 000,086,542 | -H-- | C] () -- C:\WINDOWS\hpiins01.dat
[2005/08/30 12:44:28 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\hpimdl01.dat
[2005/08/30 12:43:03 | 000,094,344 | -H-- | C] () -- C:\WINDOWS\HPHins03.dat
[2005/08/30 12:43:03 | 000,002,655 | -H-- | C] () -- C:\WINDOWS\hphmdl03.dat
[2005/08/30 12:40:40 | 000,051,056 | -H-- | C] () -- C:\WINDOWS\hpdins03.dat
[2005/08/30 12:40:40 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\hpdmdl01.dat
[2005/08/30 12:37:53 | 000,003,776 | -H-- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2005/08/30 12:34:07 | 000,001,040 | -H-- | C] () -- C:\WINDOWS\System32\drivers\alcxinit.dat
[2005/08/30 12:26:50 | 000,000,849 | -H-- | C] () -- C:\WINDOWS\orun32.ini
[2005/03/17 21:20:49 | 000,323,584 | -H-- | C] () -- C:\WINDOWS\System32\pythoncom22.dll
[2005/03/17 21:20:49 | 000,094,208 | -H-- | C] () -- C:\WINDOWS\System32\pywintypes22.dll
[2005/03/17 21:20:28 | 000,016,896 | -H-- | C] () -- C:\WINDOWS\System32\bcbmm.dll
[2004/11/03 04:13:40 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2004/11/03 04:10:36 | 000,464,174 | -H-- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/11/03 04:10:36 | 000,445,506 | -H-- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/11/03 04:10:36 | 000,086,406 | -H-- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/11/03 04:10:36 | 000,072,712 | -H-- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/11/03 04:08:40 | 000,290,088 | -H-- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2004/11/03 04:05:34 | 000,004,161 | -H-- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004/11/03 04:03:38 | 000,021,740 | -H-- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004/09/14 02:35:56 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\px.ini
[2004/08/19 20:14:46 | 000,086,016 | -H-- | C] () -- C:\WINDOWS\System32\PcdrKernelModeServices.dll
[2004/08/19 20:14:46 | 000,065,536 | -H-- | C] () -- C:\WINDOWS\System32\ProgressTrace.dll
[2004/08/04 21:00:00 | 000,004,569 | -H-- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/06/07 21:32:52 | 000,009,505 | -H-- | C] () -- C:\WINDOWS\System32\hphmon06.dat
[2003/04/10 16:04:00 | 000,028,672 | -H-- | C] () -- C:\WINDOWS\System32\JAWTAccessBridge.dll
[2002/09/21 02:19:34 | 000,001,202 | -H-- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2001/07/06 22:00:00 | 000,003,254 | -H-- | C] () -- C:\WINDOWS\System32\HPTCPMON.INI
 
========== LOP Check ==========
 
[2005/08/30 12:53:04 | 000,000,000 | -H-D | M] -- C:\WINDOWS\System32\config\systemprofile\Anwendungsdaten\Intervideo
[2005/08/30 13:06:47 | 000,000,000 | -H-D | M] -- C:\WINDOWS\System32\config\systemprofile\Anwendungsdaten\SampleView
[2010/07/04 11:23:32 | 000,000,000 | -H-D | M] -- C:\WINDOWS\System32\config\systemprofile\Anwendungsdaten\Softland
[2005/08/30 12:53:04 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator.KAVEI-DELAMY\Anwendungsdaten\Intervideo
[2005/08/30 13:06:47 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator.KAVEI-DELAMY\Anwendungsdaten\SampleView
[2010/07/01 20:21:33 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Softland
[2011/05/15 16:55:44 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Visfree
[2007/07/17 15:43:39 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
[2007/12/16 10:52:14 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ebay
[2009/06/25 16:17:39 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Games-Attack
[2008/06/21 15:14:02 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InterVideo
[2009/10/04 07:58:18 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KwinzySrch
[2007/10/25 10:47:05 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
[2007/07/27 09:03:10 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
[2007/10/15 07:51:00 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vokabeltrainer 3
[2009/06/07 07:27:30 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winferno
[2007/09/22 17:23:45 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{35B73D91-1D0C-48C6-B2FA-D27337DAC115}
[2010/11/15 18:09:03 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010/02/18 16:14:46 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2007/07/14 05:22:30 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{E6FAE2C0-980F-4256-A99F-9F33E45FE026}
[2011/06/17 12:21:00 | 000,000,360 | -H-- | M] () -- C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job
[2011/06/19 18:07:58 | 000,000,400 | -H-- | M] () -- C:\WINDOWS\Tasks\PCConfidential.job
[2011/06/19 18:08:22 | 000,000,300 | -H-- | M] () -- C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011/06/19 18:08:24 | 000,000,258 | -H-- | M] () -- C:\WINDOWS\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011/06/19 18:08:18 | 000,000,300 | -H-- | M] () -- C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
 
========== Purity Check ==========
 
 
< End of report >

--- --- ---

markusg · 20.06.2011, 15:00

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

Code:

ATTFilter

:OTL
O4 - HKU\HP_Besitzer_ON_C..\Run: [Umzyzs] C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Umzyzs.exe ()
O4 - HKU\HP_Besitzer_ON_C..\Run: [4ECYTQ9SIC] C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\Lqx.exe ()
O4 - HKU\HP_Besitzer_ON_C..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe ()
O4 - HKU\HP_Besitzer_ON_C..\Run: [{D7730D81-867F-4376-00F2-B0F54AA3700B}] C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Emus\foky.exe (Mozilla
Foundation)
O4 - HKU\.DEFAULT..\Run: [9E6XYH0W3DYGZF8EYRDJ] C:\iduhsfuisdf\28ED2723A64.exe (Trend Micro Inc.)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe) - C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe
(The OpenSSL Project, hxxp://www.openssl.org/)
:Files
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Umzyzs.exe
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\Lqx.exe
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Emus
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe

:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Sib123 · 20.06.2011, 21:39

Wenn ich die fix.txt "hochlade" dann kann ich auf das OTLPE nicht mehr zugreifen.. Er reagiert auf kein klick mehr... Ich kann nur noch auf schliessen klicken

markusg · 21.06.2011, 10:09

dann trage es, wie beschrieben, per hand ein.

Sib123 · 22.06.2011, 14:38

PHP-Code:

  ========== OTL ==========

Registry value HKEY_USERS\HP_Besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Umzyzs deleted successfully.

C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Umzyzs.exe moved successfully.

Registry value HKEY_USERS\HP_Besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\4ECYTQ9SIC deleted successfully.

C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\Lqx.exe moved successfully.

Registry value HKEY_USERS\HP_Besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\12CFG214-K641-12SF-N85P deleted successfully.

C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe moved successfully.

Registry value HKEY_USERS\HP_Besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\{D7730D81-867F-4376-00F2-B0F54AA3700B} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D7730D81-867F-4376-00F2-B0F54AA3700B}\ not found.

C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Emus\foky.exe moved successfully.

Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\9E6XYH0W3DYGZF8EYRDJ deleted successfully.

C:\iduhsfuisdf\28ED2723A64.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe deleted successfully.

C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe moved successfully.

========== FILES ==========

File\Folder C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Umzyzs.exe not found.

File\Folder C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\Lqx.exe not found.

File\Folder C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe not found.

C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Emus folder moved successfully.

File\Folder C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\svchost.exe not found.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: Administrator

->Temp folder emptied: 9425 bytes

->Temporary Internet Files folder emptied: 216480 bytes

 

User: Administrator.KAVEI-DELAMY

->Temp folder emptied: 9425 bytes

->Temporary Internet Files folder emptied: 96669 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 9425 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: HP_Besitzer

->Temp folder emptied: 2261151910 bytes

->Temporary Internet Files folder emptied: 3012787266 bytes

->Java cache emptied: 73715396 bytes

->FireFox cache emptied: 37878289 bytes

->Apple Safari cache emptied: 7324672 bytes

->Flash cache emptied: 448238 bytes

 

User: LocalService

->Temp folder emptied: 65536 bytes

->Temporary Internet Files folder emptied: 1987254 bytes

->Flash cache emptied: 405 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 126009377 bytes

->Java cache emptied: 128300 bytes

->Flash cache emptied: 27144 bytes

 

Total Flash Files Cleaned = 5,266.00 mb

 

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Administrator.KAVEI-DELAMY

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: HP_Besitzer

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Apple Safari cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 3063 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 77109717 bytes

 

Total Files Cleaned = 74.00 mb

 

 

OTLPE by OldTimer - Version 3.1.46.0 log created on 06212011_181613

markusg · 22.06.2011, 14:39

hi, jetzt den upload im upload channel, folge dazu dem link.
der start in den normalen modus sollte geklappt haben denke ich.

Sib123 · 22.06.2011, 15:00

Hab ich hochgeladen und windows läd auch normal hoch.. Vielen vielen dank bis hierhin

Leider hab ich jetzt wo's funktioniert den ms removal tool virus am hals -.-
Hab die anleitung im forum bezüglich des virusus befolgt nur hab ich im abgesicherten modes mit netzwer... Keine internet verbindung

markusg · 22.06.2011, 15:01

ich hab ja auch nicht geschrieben das du ne andere anleitung befolgen sollst, steht ja deutlich da was zu tun ist.
du kannst combofix, wenn im abgesicherten modus gestartet wurde, von einem sauberen pc auf den infizierten kopieren.

Sib123 · 22.06.2011, 15:09

Ich hab doch die anleitung befolgt und um diesen mc virus zu entfernen hab ich die anleitung befolgt, die im forum steht..
Haben sie denn ein anderen vorschlag?

markusg · 22.06.2011, 15:33

ja, wenn man hier bereits arbeitet, postet man weitere probleme, anstelle irgend welchen anleitungen zu folgen.

bitte hiermit weiter.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
evtl. im abgesicherten modus.

Sib123 · 23.06.2011, 22:44

ich habe die anweisungen befolg, also alles geschlossen und das antivirenprogramm deaktiviert...
das programm wird aber irgendwie geblockt...
wenn ich ein doppelklick auf die datei mache öffnet sich es für ein bruchteil einer sekunde
das selbe problem trat auch beim editor auf, als ich das ergebnis posten wollte... konnte dies auch nur mit hilfe eines 2. pc´s
ich glaube dieser mc removal tool virus blockiert die programme......

markusg · 24.06.2011, 10:18

wie siehts im abgesicherten modus ohne netzwerk aus, bei pc start mit f8 zu erreichen.
falls combofix nen neustart will, erneut in den abgesicherten modus ohne netzwerk.
wenn fertig, starte neu, poste
combofix.txt

Sib123 · 24.06.2011, 16:23

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-06-22.02 - HP_Besitzer 24.06.2011  16:47:26.1.1 - x86 MINIMAL
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1534.1090 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\HP_Besitzer\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator.KAVEI-DELAMY\WINDOWS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\KwinzySrch
c:\dokumente und einstellungen\All Users\Anwendungsdaten\pM28601MhHcA28601
c:\dokumente und einstellungen\All Users\Anwendungsdaten\pM28601MhHcA28601\pM28601MhHcA28601
c:\dokumente und einstellungen\All Users\Anwendungsdaten\pM28601MhHcA28601\pM28601MhHcA28601.exe
c:\dokumente und einstellungen\Default User\WINDOWS
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\8E.tmp
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\8F.tmp
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\A0.tmp
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\A1.tmp
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\A6.tmp
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\A7.tmp
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Adobe\plugs
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Adobe\plugs\mmc239.exe
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Adobe\plugs\mmc28.exe
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Adobe\plugs\mmc5009062.txt
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Adobe\shed
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Adobe\shed\thr1.chm
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Ecwuy
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Ecwuy\miziy.tif
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Ecwuy\miziy.tmp
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Mano\paiq.exe
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\uckyfgec.dat
c:\dokumente und einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\uckyfgec_navps.dat
c:\dokumente und einstellungen\HP_Besitzer\WINDOWS
c:\programme\KwinzySrch
C:\Recycle.Bin
c:\recycle.bin\config.bin
c:\recycle.bin\Recycle.Bin.exe
C:\Washer2.rar
c:\washer2.rar\config.bin
c:\windows\IsUn0407.exe
c:\windows\Lhynaa.exe
c:\windows\system32\0.003789571132371994.exe
c:\windows\system32\0.21567625939442403.exe
c:\windows\system32\0.3856541926551633.exe
c:\windows\system32\0.581376866970279.exe
c:\windows\system32\0.6973532258229606.exe
c:\windows\system32\0.8005132598110744.exe
c:\windows\system32\0.8468285401950438.exe
c:\windows\system32\AcroIEHelpe029.dll
c:\windows\system32\config\systemprofile\WINDOWS
c:\windows\system32\kock
c:\windows\system32\xmldm
C:\YouMeetWeWo
c:\youmeetwewo\config.bin
D:\Autorun.inf
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_KWINZYSRCH_SERVICE
-------\Legacy_SSHNAS
-------\Legacy_SVAJNAG
-------\Service_KwinzySrch Service
-------\Service_SSHNAS
-------\Service_svajnag
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-24 bis 2011-06-24  ))))))))))))))))))))))))))))))
.
.
2011-06-21 22:21 . 2011-03-06 22:12	2234368	----a-r-	C:\OTLPE.exe
2011-06-21 22:16 . 2011-06-21 22:33	--------	d-----w-	C:\_OTL
2011-06-21 14:29 . 2011-06-21 14:29	0	---ha-w-	c:\dokumente und einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\BIT6.tmp
2011-06-14 23:28 . 2011-06-14 23:28	--------	d-----w-	C:\spoolerlogs
2011-06-14 23:27 . 2011-06-14 23:27	507392	----a-w-	c:\windows\system32\sshnas21.dll
2011-06-14 23:26 . 2011-06-14 23:26	197632	----a-w-	c:\windows\system32\drivers\svajnager.exe
2011-06-14 23:26 . 2011-06-14 23:26	64	--sha-w-	c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\svchost.tmp
2011-06-08 20:15 . 2011-06-08 20:15	--------	d-----w-	c:\windows\system32\5016
2011-05-31 16:34 . 2011-05-31 16:34	0	---ha-w-	c:\dokumente und einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\BIT3B.tmp
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-11 07:23 . 2011-05-11 07:23	0	---ha-w-	c:\dokumente und einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten\BIT5.tmp
2009-05-01 21:02 . 2009-05-01 21:02	1044480	---ha-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	---ha-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
2008-12-09 15:23	47616	--sh--r-	c:\windows\system32\appconf32.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-10 68856]
"Logitech Vid"="c:\programme\Logitech\Logitech Vid\vid.exe" [2009-04-30 5472016]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-08-30 180269]
"WINREMOTE"="c:\programme\InterVideo\Common\Bin\WinRemote.exe" [2004-11-05 192512]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-15 233472]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-25 344064]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-08 57344]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-15 253952]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"D-Link AirPlus G"="c:\programme\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152]
"LogitechQuickCamRibbon"="c:\programme\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432]
"Bonus.SSR.FR10"="c:\programme\ABBYY FineReader 10\Bonus.ScreenshotReader.exe" [2009-10-07 939272]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-11-10 421160]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	\0
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Air Mouse\\Air Mouse\\Air Mouse.exe"=
"c:\\Programme\\Logitech\\Logitech Vid\\Vid.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R2 ABBYY.Licensing.FineReader.Professional.10.0;ABBYY FineReader 10 PE Licensing Service;c:\programme\Gemeinsame Dateien\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe [29.09.2009 16:18 809736]
R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 PE Licensing Service;c:\programme\Gemeinsame Dateien\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe [14.05.2009 18:07 759048]
R3 PhTVTune;ASUS WDM TV Tuner;c:\windows\system32\drivers\PhTVTune.sys [30.08.2005 18:35 24544]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [09.02.2010 19:53 135664]
S2 nomxhkvc;Print Class  for IEEE-1284.4 HPZipr12Monitor;c:\windows\System32\svchost.exe -k netsvcs [14.07.2007 17:27 14336]
S3 {CE521E27-BD2D-49BD-96128AFC23576574};{CE521E27-BD2D-49BD-96128AFC23576574};c:\windows\System32\svchost.exe -k netsvcs [14.07.2007 17:27 14336]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [25.12.2007 21:55 16512]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [09.02.2010 19:53 135664]
S3 PRISM_A00;Wireless PCI 802.11b/g adapter WN4201B Driver;c:\windows\system32\drivers\PCTELSAP.SYS [30.08.2005 18:35 306560]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WUAUSERV
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
nomxhkvc
.
Inhalt des "geplante Tasks" Ordners
.
2011-05-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-06-23 c:\windows\Tasks\Check Updates for Windows Live Toolbar.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2006-07-07 15:26]
.
2011-06-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-09 17:53]
.
2011-06-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-09 17:53]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de-de.facebook.com/
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
mWindow Title = Arcor AG & Co. KG
uInternet Settings,ProxyOverride = *.local
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: Interfaces\{4C67A88B-2119-44CB-B36C-784136FAF1AD}: NameServer = 192.168.2.1
TCP: Interfaces\{570E206F-0618-42BB-8C29-15C97221094A}: NameServer = 192.168.2.1
TCP: Interfaces\{96130275-3562-4D1C-999D-18FC2CC4287E}: NameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\wyaa1rua.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: network.proxy.type - 2
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Kwinzy: {52EF0988-5232-4465-86E7-6434B5891030} - c:\programme\Mozilla Firefox\extensions\{52EF0988-5232-4465-86E7-6434B5891030}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: PriceGong: {8A9386B4-E958-4c4c-ADF4-8F26DB3E4829} - c:\programme\PriceGong\1.2.0\FF
FF - Ext: CyberShadow's Bejeweled Blitz 3 Cheat: bejeweledblitz3cheat@thecybershadow.net - %profile%\extensions\bejeweledblitz3cheat@thecybershadow.net
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: JavaString Helper: {184AA5E6-741D-464a-820E-94B3ABC2F3B4} - c:\windows\system32\5016
FF - Ext: JavaString Helper: {184AA5E6-741D-464a-820E-94B3ABC2F3B4} - c:\windows\system32\5016
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{25205a8b-f8c9-eae0-ac68-c8f868bfc8ed} - c:\windows\ixewelijosi.dll
BHO-{D55EE90F-E559-192B-44B5-5093633BE561} - c:\windows\system32\wfwfrncl.dll
HKCU-Run-uckyfgec - c:\dokumente und einstellungen\hp_besitzer\lokale einstellungen\anwendungsdaten\uckyfgec.exe
HKCU-Run-{89D799AA-D7BD-2B63-95D8-22FDF939AC13} - c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Mano\paiq.exe
HKCU-Run-Recycle.Bin.exe - c:\recycle.bin\Recycle.Bin.exe
HKCU-Run-Reguser - c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Visfree\atlxml.exe
HKCU-Run-3EFB0E1E7E2F52CE - c:\youmeetwewo\YouMeetWeWo.exe
HKCU-Run-4E3E0230AEBB4E96 - c:\recycle.bin\Recycle.Bin.exe
HKCU-Run-Rrakogut - c:\windows\dprpbkbd.dll
HKCU-Run-NuHveRXdmtu - c:\dokumente und einstellungen\All Users\Anwendungsdaten\NuHveRXdmtu.exe
HKCU-Run-4W1W8B7A1IVJUZ4WRROJW - c:\washer2.rar\Washer2.rar.exe
HKLM-Run-Prunan - c:\windows\ixewelijosi.dll
HKU-Default-Run-Reguser - c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Visfree\atlxml.exe
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
AddRemove-uckyfgec - c:\dokumente und einstellungen\hp_besitzer\lokale einstellungen\anwendungsdaten\uckyfgec.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-06-24 17:09
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(724)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2572)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\programme\Windows Media Player\wmpband.dll
c:\programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\ALCXMNTR.EXE
c:\programme\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\MICROS~4\rapimgr.exe
c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-06-24  17:18:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-06-24 15:18
.
Vor Suchlauf: 3 Verzeichnis(se), 125.010.927.616 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 123.762.688.000 Bytes frei
.
- - End Of File - - 0708DC7CD49CE366C343B40C21F15CF9

--- --- ---

ist es normal, dass all meine programme weg sind?

21.06.2011, 10:09	#6
markusg /// Malware-holic	Trojaner: system-plugin an der adresse ... Kritischer fehler dann trage es, wie beschrieben, per hand ein. __________________ --> Trojaner: system-plugin an der adresse ... Kritischer fehler

Trojaner: system-plugin an der adresse ... Kritischer fehler

Plagegeister aller Art und deren Bekämpfung: Trojaner: system-plugin an der adresse ... Kritischer fehler