TaskManager weg, Desktop/Startmenü leer, Wallpaper schwarz

DavidDonut · 27.09.2011, 14:47

Hallo werte Experten,

heute Nacht schlug auf meinem PC AntiVir Malware-Alarm, es öffneten sich 20 Windows-Fehlermeldungen ("Failed to save all the components for the file...") und anschließend war der TaskManager nicht aufrufbar, der Desktop und das Startmenü leer, und das Wallpaper schwarz.

Hab das Lan-Kabel gezogen, im abgesicherten Modus gestartet und Malwarebytes' Anti-Malware als Quickscan laufen lassen, das noch drauf war (allerdings nicht upgedated, da ja offline). Der fand 3 Infizierungen (s.u.). Beim vollständigen Scan (ebenfalls vorher nicht upgedated), wurde noch eine Infektion (Adware) gefunden.

Ich habe den registry-Eintrag zum Verstecken des Taskmanagers gelöscht. Und herausgefunden, dass die Desktop- und Eigene Dateien-Dateien als versteckt geeigenschaftet wurden.

Beim Neustart im normalen Modus kamen die 20 Pseudo-Fehlermeldungen wieder, Ordneroptionen-Ansicht war wieder auf versteckt und MAM fand PUM.Hijack.DisplayProperties und PUM.Hijack.Hidden.Desktop nochmal.

Hier die Ereignisse von AntiVir:

Code:

ATTFilter

Exportierte Ereignisse:

27.09.2011 04:40 [Scanner] Malware gefunden
      Die Datei 'Bootsektor 'C:\''
      enthielt einen Virus oder unerwünschtes Programm 'BOO/TDss.D' [virus].
      Durchgeführte Aktion(en):
      Enthält Code des Bootsektorvirus BOO/TDss.D.
      Der Sektor wurde nicht neu geschrieben!

27.09.2011 04:40 [Scanner] Malware gefunden
      Die Datei 'Bootsektor 'D:\''
      enthielt einen Virus oder unerwünschtes Programm 'BOO/TDss.D' [virus].
      Durchgeführte Aktion(en):
      Enthält Code des Bootsektorvirus BOO/TDss.D.
      Der Sektor wurde nicht neu geschrieben!

27.09.2011 04:40 [Scanner] Malware gefunden
      Die Datei 'Masterbootsektor HD0'
      enthielt einen Virus oder unerwünschtes Programm 'BOO/TDss.D' [virus].
      Durchgeführte Aktion(en):
      Enthält Code des Bootsektorvirus BOO/TDss.D.
      Der Sektor wurde nicht neu geschrieben!

27.09.2011 04:39 [Planer] Auftrag gestartet
      Auftrag "Vollständige Systemprüfung"
      wurde erfolgreich gestartet.

27.09.2011 04:39 [Planer] Auftrag gestartet
      Auftrag "Vollständige Systemprüfung"
      wurde erfolgreich gestartet.

27.09.2011 04:38 [Planer] Auftrag gestartet
      Auftrag "Vollständige Systemprüfung"
      wurde erfolgreich gestartet.

27.09.2011 04:37 [Guard] Malware gefunden
      In der Datei 'C:\TEMP\jar_cache6960314522919196866.tmp'
      wurde ein Virus oder unerwünschtes Programm 'EXP/2010-4452.AG' [exploit] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

27.09.2011 04:37 [Guard] Malware gefunden
      In der Datei 'C:\TEMP\jar_cache324879538324229712.tmp'
      wurde ein Virus oder unerwünschtes Programm 'EXP/2010-4452.AG' [exploit] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

27.09.2011 04:37 [Guard] Malware gefunden
      In der Datei 'C:\TEMP\jar_cache8610916719011515139.tmp'
      wurde ein Virus oder unerwünschtes Programm 'EXP/2010-4452.AG' [exploit] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

27.09.2011 04:37 [Guard] Malware gefunden
      In der Datei 'C:\TEMP\jar_cache4391161939717126551.tmp'
      wurde ein Virus oder unerwünschtes Programm 'EXP/2010-4452.AG' [exploit] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

27.09.2011 04:37 [Guard] Malware gefunden
      In der Datei 'C:\TEMP\jar_cache8417592483667577681.tmp'
      wurde ein Virus oder unerwünschtes Programm 'EXP/2010-4452.AG' [exploit] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

27.09.2011 04:37 [Guard] Malware gefunden
      In der Datei 'C:\TEMP\jar_cache6766646246829313904.tmp'
      wurde ein Virus oder unerwünschtes Programm 'EXP/2010-4452.AG' [exploit] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

Und das Ergebnis von MAMs Quickscan:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6788

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512

27.09.2011 12:12:05
mbam-log-2011-09-27 (12-12-05).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 169096
Laufzeit: 5 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und das des vollständigen MAM-Such-Laufs:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6788

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512

27.09.2011 14:37:45
mbam-log-2011-09-27 (14-37-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 238787
Laufzeit: 38 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\administrator\anwendungsdaten\ad on multimedia\ebay shortcuts\ebayshortcuts.exe (Adware.ADON) -> No action taken.

Ich habe gemäß Anleitung defogger gestartet.
Anschließend OTL, hier die OTL.txt:

Code:

ATTFilter

OTL logfile created on: 27.09.2011 15:21:34 - Run 1
OTL by OldTimer - Version 3.2.29.1     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
767,53 Mb Total Physical Memory | 638,45 Mb Available Physical Memory | 83,18% Memory free
1,46 Gb Paging File | 1,41 Gb Available in Paging File | 96,59% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 40,00 Gb Total Space | 10,11 Gb Free Space | 25,27% Space Free | Partition Type: NTFS
Drive D: | 113,37 Gb Total Space | 14,97 Gb Free Space | 13,21% Space Free | Partition Type: NTFS
Drive E: | 3,60 Gb Total Space | 3,59 Gb Free Space | 99,72% Space Free | Partition Type: FAT32
 
Computer Name: GOLEM1 | User Name: David | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.09.27 12:39:50 | 000,582,656 | -H-- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | -H-- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011.02.11 17:41:29 | 000,603,896 | -H-- | M] (Cisco Systems, Inc.) [Auto | Stopped] -- C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe -- (vpnagent)
SRV - [2010.03.04 23:38:00 | 000,071,096 | -H-- | M] () [Auto | Stopped] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2009.08.19 22:03:07 | 000,185,089 | -H-- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.13 16:48:18 | 000,108,289 | -H-- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009.03.24 10:45:58 | 000,127,656 | -H-- | M] (Samsung Electronics CO., LTD.) [On_Demand | Stopped] -- C:\WINDOWS\System32\SUPDSvc.exe -- (Samsung UPD Service)
SRV - [2008.08.29 14:58:16 | 001,528,608 | -H-- | M] (Cisco Systems, Inc.) [Auto | Stopped] -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND)
SRV - [2005.04.06 17:03:28 | 000,110,592 | -H-- | M] () [Auto | Stopped] -- C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe -- (BlueSoleil Hid Service)
SRV - [2003.07.28 21:28:22 | 000,089,136 | -H-- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2002.09.20 16:50:10 | 000,045,056 | -H-- | M] (Analog Devices, Inc.) [Auto | Stopped] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default))
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.05.29 09:11:30 | 000,039,984 | -H-- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2011.02.11 17:27:37 | 000,019,680 | -H-- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\vpnva.sys -- (vpnva)
DRV - [2010.12.18 13:03:56 | 000,021,696 | -H-- | M] (Almico Software) [Kernel | Boot | Running] -- C:\WINDOWS\system32\speedfan.sys -- (speedfan)
DRV - [2010.05.12 13:23:04 | 000,016,896 | -H-- | M] (Danish Wireless Design A/S) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\FlashUSB.sys -- (FlashUSB)
DRV - [2009.12.08 10:05:53 | 000,056,816 | -H-- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.11.12 14:48:56 | 000,007,168 | -H-- | M] () [File_System | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009.05.11 10:12:20 | 000,028,520 | -H-- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 10:33:03 | 000,096,104 | -H-- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.03.02 02:43:14 | 000,024,616 | -H-- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ggsemc.sys -- (ggsemc)
DRV - [2009.03.02 02:43:14 | 000,013,224 | -H-- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ggflt.sys -- (ggflt)
DRV - [2009.02.13 12:35:01 | 000,011,608 | -H-- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.11.19 18:09:10 | 000,024,832 | -H-- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbmodem.sys -- (USBModem)
DRV - [2008.11.19 18:09:08 | 000,019,968 | -H-- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbdiag.sys -- (UsbDiag)
DRV - [2008.11.19 18:09:08 | 000,013,056 | -H-- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbbus.sys -- (usbbus)
DRV - [2008.08.29 14:57:18 | 000,306,299 | -H-- | M] (Cisco Systems, Inc.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA)
DRV - [2008.04.13 23:15:30 | 000,010,624 | -H-- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2008.03.29 18:36:28 | 000,125,328 | -H-- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE)
DRV - [2007.01.18 19:28:02 | 000,005,275 | -H-- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA)
DRV - [2006.11.04 06:45:48 | 000,178,913 | -H-- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\V0260Vid.sys -- (V0260VID)
DRV - [2005.11.03 16:40:07 | 000,063,488 | -H-- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfvfs02.sys -- (sfvfs02) StarForce Protection VFS Driver (version 2.x)
DRV - [2005.08.31 11:34:52 | 000,020,480 | -H-- | M] (IVT Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - [2005.08.31 11:34:10 | 000,020,480 | -H-- | M] (IVT Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\blueletaudio.sys -- (BlueletAudio)
DRV - [2005.08.10 14:44:04 | 000,050,688 | -H-- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfdrv01.sys -- (sfdrv01) StarForce Protection Environment Driver (version 1.x)
DRV - [2005.07.29 17:26:54 | 000,023,000 | -H-- | M] (IVT Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btcusb.sys -- (Btcsrusb)
DRV - [2005.07.29 17:21:48 | 000,011,736 | -H-- | M] (IVT Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VHIDMini.sys -- (VHidMinidrv)
DRV - [2005.07.29 17:21:32 | 000,011,988 | -H-- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\vbtenum.sys -- (BTHidEnum)
DRV - [2005.05.16 15:20:39 | 000,006,656 | -H-- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x)
DRV - [2005.04.30 15:50:10 | 000,028,271 | -H-- | M] (IVT Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - [2005.04.30 15:48:58 | 000,010,804 | -H-- | M] (IVT Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BtNetDrv.sys -- (BT)
DRV - [2005.03.25 18:18:48 | 000,082,148 | -H-- | M] (IVT Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VcommMgr.sys -- (VcommMgr)
DRV - [2005.01.11 08:25:10 | 000,923,826 | -H-- | M] (Motorola Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\smserial.sys -- (smserial)
DRV - [2004.12.16 17:32:54 | 000,013,304 | -H-- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BTNetFilter.sys -- (BTNetFilter)
DRV - [2004.10.19 14:37:38 | 000,061,312 | -H-- | M] (IVT Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VComm.sys -- (VComm)
DRV - [2004.07.28 08:04:28 | 000,004,992 | -H-- | M] () [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\Amfilter.sys -- (Amfilter)
DRV - [2004.07.28 08:04:18 | 000,011,264 | -H-- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Amusbprt.sys -- (Amusbprt)
DRV - [2003.10.31 11:22:38 | 000,077,312 | RH-- | M] (VIA Technologies inc,.ltd) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\viasraid.sys -- (viasraid)
DRV - [2003.07.02 04:42:00 | 000,027,904 | -H-- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\viaagp1.sys -- (viaagp1)
DRV - [1996.04.03 21:33:26 | 000,005,248 | -H-- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\giveio.sys -- (giveio)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.openintab: true
FF - prefs.js..browser.startup.homepage: "about:blank"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.6
FF - prefs.js..extensions.enabledItems: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}:0.9.8
FF - prefs.js..extensions.enabledItems: fastdial@telega.phpnet.us:3.4
FF - prefs.js..extensions.enabledItems: {1A2D0EC4-75F5-4c91-89C4-3656F6E44B68}:0.4.6
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..network.proxy.backup.ftp: "68.169.161.49"
FF - prefs.js..network.proxy.backup.ftp_port: 8080
FF - prefs.js..network.proxy.backup.gopher: "89.21.229.88"
FF - prefs.js..network.proxy.backup.gopher_port: 80
FF - prefs.js..network.proxy.backup.socks: "68.169.161.49"
FF - prefs.js..network.proxy.backup.socks_port: 8080
FF - prefs.js..network.proxy.backup.ssl: "68.169.161.49"
FF - prefs.js..network.proxy.backup.ssl_port: 8080
FF - prefs.js..network.proxy.ftp: "65.110.6.44"
FF - prefs.js..network.proxy.gopher: "89.21.229.88"
FF - prefs.js..network.proxy.gopher_port: 80
FF - prefs.js..network.proxy.http: "65.110.6.44"
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "65.110.6.44"
FF - prefs.js..network.proxy.ssl: "65.110.6.44"
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.0.1: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.09.19 12:18:06 | 000,000,000 | -H-D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.06.02 19:03:45 | 000,000,000 | -H-D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 6.0.2\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.08.16 21:47:21 | 000,000,000 | -H-D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 6.0.2\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.05.02 20:42:11 | 000,000,000 | -H-D | M]
 
[2009.09.28 20:50:14 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2010.09.07 19:32:41 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2009.09.28 20:50:14 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com
[2011.07.15 13:00:14 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k388n6qo.default\extensions
[2011.03.03 22:32:51 | 000,000,000 | -H-D | M] (Image Zoom) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k388n6qo.default\extensions\{1A2D0EC4-75F5-4c91-89C4-3656F6E44B68}
[2010.05.05 11:46:43 | 000,000,000 | -H-D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k388n6qo.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011.03.15 19:14:48 | 000,000,000 | -H-D | M] (Download Statusbar) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k388n6qo.default\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
[2011.07.15 13:00:14 | 000,000,000 | -H-D | M] (Fast Dial) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k388n6qo.default\extensions\fastdial@telega.phpnet.us
[2010.09.17 12:41:27 | 000,000,000 | -H-D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\K388N6QO.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2011.09.19 12:18:05 | 000,134,104 | -H-- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2010.05.02 20:42:11 | 000,075,208 | -H-- | M] (Foxit Software Company) -- C:\Programme\mozilla firefox\plugins\npFoxitReaderPlugin.dll
[2011.06.02 19:03:41 | 000,001,392 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.06.02 19:03:41 | 000,002,252 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.06.02 19:03:41 | 000,001,153 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.06.02 19:03:41 | 000,006,805 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.06.02 19:03:41 | 000,001,178 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.06.02 19:03:41 | 000,001,105 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | -H-- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation)
O4 - HKCU..\Run: [OpdotwhWLtLW.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OpdotwhWLtLW.exe (NetPlay Software)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 File not found
O15 - HKCU\..Trusted Domains: internet ([]about in Internet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.10.04 14:04:12 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{2a2dd7be-421b-11e0-9eaa-0011675aaa9b}\Shell - "" = AutoRun
O33 - MountPoints2\{2a2dd7be-421b-11e0-9eaa-0011675aaa9b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{2a2dd7be-421b-11e0-9eaa-0011675aaa9b}\Shell\AutoRun\command - "" = E:\USBAutoRun.exe
O33 - MountPoints2\{7a13ba7b-df23-11de-9bc5-0011675aaa9b}\Shell - "" = AutoRun
O33 - MountPoints2\{7a13ba7b-df23-11de-9bc5-0011675aaa9b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{7a13ba7b-df23-11de-9bc5-0011675aaa9b}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL P.EXE
O33 - MountPoints2\{ebdc6630-a4c4-11e0-9f81-000ea61d3337}\Shell\AutoRun\command - "" = C:\WINDOWS\System32\cmd.exe -- [2008.04.14 07:52:40 | 000,401,920 | -H-- | M] (Microsoft Corporation)
O33 - MountPoints2\{ebdc6630-a4c4-11e0-9f81-000ea61d3337}\Shell\explore\command - "" = C:\WINDOWS\System32\cmd.exe -- [2008.04.14 07:52:40 | 000,401,920 | -H-- | M] (Microsoft Corporation)
O33 - MountPoints2\{ebdc6630-a4c4-11e0-9f81-000ea61d3337}\Shell\open\command - "" = C:\WINDOWS\System32\cmd.exe -- [2008.04.14 07:52:40 | 000,401,920 | -H-- | M] (Microsoft Corporation)
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {233C1507-6A77-46A4-9443-F871F945D258} - Adobe Shockwave Director 10.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2A202491-F00D-11cf-87CC-0020AFEECF20} - Adobe Shockwave Director 10.4
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - Microsoft Outlook Express 6
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {881dd1c5-3dcf-431b-b061-f3f88e8be88a} - 
ActiveX: {8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /HideWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - Services: "TomTomHOMEService"
MsConfig - StartUpReg: SMSERIAL - hkey= - key= - C:\WINDOWS\sm56hlpr.exe (Motorola Inc.)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 2
 
CREATERESTOREPOINT
Error creating restore point.
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.09.27 14:57:41 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Data Recovery
[2011.09.27 14:56:43 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2011.09.27 14:30:09 | 000,582,656 | -H-- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2011.09.27 04:43:44 | 000,346,624 | -H-- | C] (NetPlay Software) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6DSS92c31Apgjk.exe
[2011.09.27 04:37:49 | 000,455,680 | -H-- | C] (NetPlay Software) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OpdotwhWLtLW.exe
[2011.09.19 17:45:41 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Temp
[2011.09.19 17:45:41 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2011.09.19 17:45:33 | 000,000,000 | -H-D | C] -- C:\Programme\Google
[2011.09.19 17:45:33 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google
[2011.09.19 17:37:43 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.09.27 15:07:58 | 000,013,646 | -H-- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.09.27 15:07:40 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.09.27 14:57:41 | 000,000,852 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Data Recovery.lnk
[2011.09.27 14:57:28 | 000,000,336 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6DSS92c31Apgjk
[2011.09.27 14:34:28 | 000,000,000 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2011.09.27 13:26:18 | 000,302,592 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\h26t4o1x.exe
[2011.09.27 12:39:50 | 000,582,656 | -H-- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2011.09.27 12:38:56 | 000,050,477 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Defogger.exe
[2011.09.27 04:43:44 | 000,346,624 | -H-- | M] (NetPlay Software) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6DSS92c31Apgjk.exe
[2011.09.27 04:37:19 | 000,455,680 | -H-- | M] (NetPlay Software) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OpdotwhWLtLW.exe
[2011.09.21 13:15:04 | 000,017,230 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Lebenslauf.odt
[2011.09.19 21:11:12 | 000,156,360 | -H-- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.09.07 18:06:46 | 000,005,741 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Anschreiben_LA.pdf
[2011.09.06 11:41:25 | 000,014,070 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Gabi NK.odt
[2011.09.04 19:26:55 | 000,060,058 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Nuit2.pdf
[2011.09.04 18:27:11 | 004,452,878 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Nuit1.pdf
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.09.27 14:57:41 | 000,000,852 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Data Recovery.lnk
[2011.09.27 14:57:28 | 000,000,336 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6DSS92c31Apgjk
[2011.09.27 14:34:28 | 000,000,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2011.09.27 14:30:10 | 000,050,477 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Defogger.exe
[2011.09.27 14:30:09 | 000,302,592 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\h26t4o1x.exe
[2011.09.19 18:31:43 | 000,017,230 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Lebenslauf.odt
[2011.09.07 18:06:46 | 000,005,741 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Anschreiben_LA.pdf
[2011.09.06 11:41:24 | 000,014,070 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Gabi NK.odt
[2011.09.04 19:26:52 | 000,060,058 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Nuit2.pdf
[2011.09.04 18:27:08 | 004,452,878 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Nuit1.pdf
[2011.03.10 18:44:41 | 000,007,168 | -H-- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2011.02.27 05:02:53 | 000,053,248 | -H-- | C] () -- C:\WINDOWS\System32\CommonDL.dll
[2011.02.27 05:02:53 | 000,002,413 | -H-- | C] () -- C:\WINDOWS\System32\lgAxconfig.ini
[2010.12.01 11:53:22 | 000,116,224 | -H-- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2010.08.14 19:38:25 | 000,045,056 | -H-- | C] () -- C:\WINDOWS\System32\vusetup.dll
[2010.02.02 01:05:44 | 000,000,030 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\tigersetting.dll
[2009.12.11 09:48:07 | 000,000,701 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\init.dll
[2009.12.11 09:48:07 | 000,000,006 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SYSTEM32.dll
[2009.12.11 09:47:57 | 000,000,701 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\sound.dll
[2009.12.11 09:47:07 | 000,116,736 | -H-- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2009.12.11 09:46:56 | 000,094,274 | -H-- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL
[2009.12.04 21:55:31 | 000,000,754 | -H-- | C] () -- C:\WINDOWS\WORDPAD.INI
[2009.11.16 15:20:36 | 000,000,021 | -H-- | C] () -- C:\WINDOWS\asfbin.ini
[2009.10.31 16:55:14 | 000,004,940 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mtbjfghn.xbe
[2009.10.31 05:13:24 | 000,483,328 | -H-- | C] () -- C:\WINDOWS\ssndii.exe
[2009.10.31 05:12:22 | 000,026,624 | -H-- | C] () -- C:\WINDOWS\System32\spd__l3.dll
[2009.10.31 05:12:19 | 000,339,968 | -H-- | C] () -- C:\WINDOWS\System32\DscPnt1.dll
[2009.10.31 05:12:19 | 000,233,472 | -H-- | C] () -- C:\WINDOWS\System32\DscPnt0.dll
[2009.10.31 05:12:19 | 000,229,376 | -H-- | C] () -- C:\WINDOWS\System32\DscPnt.dll
[2009.05.14 20:15:45 | 000,053,299 | -H-- | C] () -- C:\WINDOWS\System32\pthreadVC.dll
[2008.11.20 03:28:17 | 000,003,584 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.11.13 01:36:38 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\nsreg.dat
[2008.11.12 19:26:11 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2008.11.11 19:52:57 | 000,000,129 | -H-- | C] () -- C:\WINDOWS\winamp.ini
[2008.10.04 17:47:04 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2008.10.04 17:03:30 | 000,000,044 | -H-- | C] () -- C:\WINDOWS\System32\msssc.dll
[2008.10.04 17:02:18 | 000,005,824 | -H-- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2008.10.04 17:02:18 | 000,002,888 | -H-- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2008.10.04 16:28:36 | 000,000,400 | -H-- | C] () -- C:\WINDOWS\ODBC.INI
[2008.10.04 14:47:48 | 000,004,161 | -H-- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.10.04 14:46:51 | 000,156,360 | -H-- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008.10.04 14:04:37 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008.10.04 14:02:34 | 000,021,740 | -H-- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.08.29 14:58:26 | 000,197,408 | -H-- | C] () -- C:\WINDOWS\System32\vpnapi.dll
[2008.08.29 14:58:16 | 000,193,312 | -H-- | C] () -- C:\WINDOWS\System32\CSGina.dll
[2008.04.14 08:06:26 | 000,001,804 | -H-- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2006.12.31 07:57:08 | 000,004,569 | -H-- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.10.27 08:26:56 | 000,069,632 | -H-- | C] () -- C:\WINDOWS\System32\vuins32.dll
[2006.10.22 12:22:00 | 001,662,976 | -H-- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2006.10.22 12:22:00 | 001,339,392 | -H-- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2006.10.22 12:22:00 | 001,019,904 | -H-- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2006.10.22 12:22:00 | 000,581,632 | -H-- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2006.10.22 12:22:00 | 000,442,368 | -H-- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2006.10.22 12:22:00 | 000,286,720 | -H-- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.10.22 12:22:00 | 000,212,992 | -H-- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2005.07.29 17:21:32 | 000,011,988 | -H-- | C] () -- C:\WINDOWS\System32\drivers\vbtenum.sys
[2004.12.16 17:32:54 | 000,013,304 | -H-- | C] () -- C:\WINDOWS\System32\drivers\BTNetFilter.sys
[2004.11.11 02:16:10 | 000,045,056 | -H-- | C] () -- C:\WINDOWS\sm56chs.dll
[2004.11.10 05:42:22 | 000,065,536 | -H-- | C] () -- C:\WINDOWS\sm56eng.dll
[2004.11.10 05:42:22 | 000,049,152 | -H-- | C] () -- C:\WINDOWS\sm56jpn.dll
[2004.11.10 05:42:20 | 000,045,056 | -H-- | C] () -- C:\WINDOWS\sm56cht.dll
[2004.11.02 11:12:20 | 000,065,536 | -H-- | C] () -- C:\WINDOWS\sm56spn.dll
[2004.11.02 11:12:20 | 000,065,536 | -H-- | C] () -- C:\WINDOWS\sm56itl.dll
[2004.11.02 11:12:20 | 000,065,536 | -H-- | C] () -- C:\WINDOWS\sm56ger.dll
[2004.11.02 11:12:20 | 000,065,536 | -H-- | C] () -- C:\WINDOWS\sm56fra.dll
[2004.11.02 11:12:20 | 000,065,536 | -H-- | C] () -- C:\WINDOWS\sm56brz.dll
[2004.08.04 14:00:00 | 013,107,200 | -H-- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004.08.04 14:00:00 | 000,673,088 | -H-- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 14:00:00 | 000,429,742 | -H-- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 14:00:00 | 000,416,830 | -H-- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 14:00:00 | 000,272,128 | -H-- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 14:00:00 | 000,269,480 | -H-- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 14:00:00 | 000,218,003 | -H-- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 14:00:00 | 000,074,452 | -H-- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 14:00:00 | 000,062,738 | -H-- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 14:00:00 | 000,046,258 | -H-- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 14:00:00 | 000,034,478 | -H-- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 14:00:00 | 000,028,626 | -H-- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 14:00:00 | 000,004,461 | -H-- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004.08.04 14:00:00 | 000,000,741 | -H-- | C] () -- C:\WINDOWS\System32\noise.dat
[2004.07.28 08:04:28 | 000,004,992 | -H-- | C] () -- C:\WINDOWS\System32\drivers\Amfilter.sys
[2004.07.28 08:04:18 | 000,011,264 | -H-- | C] () -- C:\WINDOWS\System32\drivers\Amusbprt.sys
[1996.04.03 21:33:26 | 000,005,248 | -H-- | C] () -- C:\WINDOWS\System32\giveio.sys
 
========== LOP Check ==========
 
[2009.03.02 01:04:29 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AD ON Multimedia
[2010.12.05 08:23:25 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Amazon
[2011.03.10 18:45:07 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Canneverbe Limited
[2010.10.27 14:39:35 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers
[2009.03.13 21:45:29 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Foxit
[2010.06.03 01:08:50 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Foxit Software
[2011.06.28 11:22:58 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0
[2009.09.24 05:49:35 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\IrfanView
[2011.02.27 05:17:54 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LG Electronics
[2011.09.19 17:55:40 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Miranda
[2011.02.27 04:43:14 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MyPhoneExplorer
[2009.07.13 15:46:53 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nokia
[2010.10.21 03:30:35 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org
[2008.10.04 17:51:48 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Opera
[2011.07.02 14:52:03 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SAP
[2010.09.07 19:32:38 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird
[2009.09.28 20:50:12 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TomTom
[2011.09.19 17:55:40 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uTorrent
[2009.12.11 09:53:17 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\YCanPDF
[2011.02.27 05:17:54 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\{D94BA408-F110-488B-A65E-3AE7945F79E6}
[2008.12.02 03:35:40 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bluetooth
[2011.03.10 18:45:07 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2010.02.01 03:38:24 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cisco
[2009.07.13 15:43:17 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2011.02.27 05:03:07 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LGMOBILEAX
[2008.10.04 17:47:07 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
[2010.10.01 11:05:51 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Samsung
[2011.07.30 13:04:12 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2009.08.22 00:29:31 | 000,000,000 | -H-D | M] -- C:\bde78c7005de52791ed5301619f3
[2011.09.19 21:11:11 | 000,000,000 | -HSD | M] -- C:\Config.Msi
[2011.03.08 02:27:46 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen
[2011.02.27 05:15:40 | 000,000,000 | -H-D | M] -- C:\GD510
[2011.02.27 05:05:19 | 000,000,000 | -H-D | M] -- C:\ifx
[2011.01.31 13:59:47 | 000,000,000 | -H-D | M] -- C:\jpgtmp
[2009.05.19 02:12:39 | 000,000,000 | -H-D | M] -- C:\Live!Cam
[2008.10.04 17:44:28 | 000,000,000 | -H-D | M] -- C:\NVIDIA
[2009.09.28 23:54:46 | 000,000,000 | -H-D | M] -- C:\Program Files
[2011.09.19 17:59:50 | 000,000,000 | -H-D | M] -- C:\Programme
[2010.10.15 17:50:11 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2008.10.04 17:46:23 | 000,000,000 | -H-D | M] -- C:\Software
[2008.10.04 14:46:52 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.09.27 14:56:19 | 000,000,000 | -H-D | M] -- C:\TEMP
[2011.06.25 12:27:33 | 000,000,000 | -H-D | M] -- C:\tmp
[2011.09.27 11:41:01 | 000,000,000 | -H-D | M] -- C:\WINDOWS
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.manifest /3 >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
 
< MD5 for: EXPLORER.EXE  >
[2008.04.14 07:52:46 | 001,036,800 | -H-- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
 
< MD5 for: REGEDIT.EXE  >
[2008.04.14 07:53:00 | 000,153,600 | -H-- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 07:53:04 | 000,026,624 | -H-- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2008.04.14 07:53:06 | 000,513,024 | -H-- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-09-20 03:35:03
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 229 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0

< End of report >

und hier die Extras.txt:

Code:

ATTFilter

OTL Extras logfile created on: 27.09.2011 15:21:34 - Run 1
OTL by OldTimer - Version 3.2.29.1     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
767,53 Mb Total Physical Memory | 638,45 Mb Available Physical Memory | 83,18% Memory free
1,46 Gb Paging File | 1,41 Gb Available in Paging File | 96,59% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 40,00 Gb Total Space | 10,11 Gb Free Space | 25,27% Space Free | Partition Type: NTFS
Drive D: | 113,37 Gb Total Space | 14,97 Gb Free Space | 13,21% Space Free | Partition Type: NTFS
Drive E: | 3,60 Gb Total Space | 3,59 Gb Free Space | 99,72% Space Free | Partition Type: FAT32
 
Computer Name: GOLEM1 | User Name: David | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /k cd "%L" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"E:\httpd\httpd-x86-windows\apache.exe" = E:\httpd\httpd-x86-windows\apache.exe:127.0.0.1,LocalSubnet:Enabled:Apache web server
"E:\perl\win32\wperl.exe" = E:\perl\win32\wperl.exe:127.0.0.1,LocalSubnet:Enabled:Perl interpreter - part of Stunnix Web Server
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)
"C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe" = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:Enabled:BlueSoleil -- (IVT Corporation)
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Programme\Willing Webcam\wwcam.exe" = C:\Programme\Willing Webcam\wwcam.exe:*:Enabled:Willing Webcam
"C:\WINDOWS\system32\SUPDSvc.exe" = C:\WINDOWS\system32\SUPDSvc.exe:*:Enabled:Samsung UPD Service -- (Samsung Electronics CO., LTD.)
"E:\httpd\httpd-x86-windows\apache.exe" = E:\httpd\httpd-x86-windows\apache.exe:127.0.0.1,LocalSubnet:Enabled:Apache web server
"E:\perl\win32\wperl.exe" = E:\perl\win32\wperl.exe:127.0.0.1,LocalSubnet:Enabled:Perl interpreter - part of Stunnix Web Server
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Programme\Miranda IM\miranda32.exe" = C:\Programme\Miranda IM\miranda32.exe:*:Enabled:Miranda IM -- ( )
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{212748BB-0DA5-46DE-82A1-403736DC9F27}" = MSVC80_x86
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{44D66AD9-AE19-4AFD-BE7E-A1B44C856697}" = MSXML4.0 redistributable
"{4AAFBCF4-245F-4896-8D90-925828EC8CF6}" = StarMoney 6.0 
"{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}" = Cisco Systems VPN Client 5.0.04.0300
"{5335DADB-34BA-4AE8-A519-648D78498846}" = Skype™ 5.3
"{5C85747A-91B6-4233-AAF8-063506D0FF4F}" = LG United Mobile Drivers
"{63D1A44F-E1FD-4460-BE0A-8745012F67EF}" = BlueSoleil
"{70858C67-8761-4444-895A-0A8B2E9E144E}" = Opera 10.61
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator 2.9.1
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{90850407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word Viewer 2003
"{9497EBAA-87AD-41E6-8ED6-E1E52995A76C}" = VIA Integrated Setup Wizard
"{95140000-00AF-0407-0000-0000000FF1CE}" = Microsoft PowerPoint Viewer
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A040AC77-C1AA-4CC9-8931-9F648AF178F6}" = VC 9.0 Runtime
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A47A9101-6EB5-4314-BDA1-297880FBB908}" = Microsoft redistributable runtime DLLs VS2008 SP1(x86)
"{ABD7DBE3-E344-4BCA-B8AD-4360494DD1D9}" = LG MC USB U330 driver
"{AEM384L1-28E3-1232-1233-1JD74JDIEK32}_is1" = PDFTigerDriver
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CEC7A786-A9C8-4EF7-BB59-6518E3B3C878}" = vcredist_x86
"{D94BA408-F110-488B-A65E-3AE7945F79E6}_is1" = LG PC Suite III deinstallieren
"{DE252510-5687-4C60-A705-C43E19F12C9D}_is1" = PDFTiger Kernel
"{E1640DA5-89B4-4F52-B15D-5DA3D14F29D4}" = LG USB Modem Drivers
"{E6BF9670-C9E9-461A-9B14-B5ADAC3176CF}" = Cisco AnyConnect VPN Client
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{FFCB1B04-5B1C-4A17-AA60-CA6F00BA50F9}" = StarMoney
"{FFF5F83B-1112-49EF-BABF-C00D2DECC062}" = DSL Connection Manager
"7-Zip" = 7-Zip 4.57
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"Agfa ScanWise 1.20" = Agfa ScanWise 1.20
"Agfa ScanWise 2.00" = Agfa ScanWise 2.00
"AMCap" = AMCap
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Creative VF0260" = Creative Live! Cam Vista IM Driver (1.01.03.1104)
"Digital Editions" = Adobe Digital Editions
"Foxit PDF Editor" = Foxit PDF Editor
"Foxit Reader" = Foxit Reader
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.9
"Hidden and Dangerous Deluxe" = Hidden and Dangerous Deluxe
"InstallShield_{9497EBAA-87AD-41E6-8ED6-E1E52995A76C}" = VIA Integrated Setup Wizard
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Miranda IM" = Miranda IM 0.9.16
"Mozilla Firefox 6.0.2 (x86 de)" = Mozilla Firefox 6.0.2 (x86 de)
"Mozilla Thunderbird (6.0.2)" = Mozilla Thunderbird (6.0.2)
"MPE" = MyPhoneExplorer
"NVIDIA" = NVIDIA Windows 2000/XP Display Drivers
"NVIDIA Drivers" = NVIDIA Drivers
"oggcodecs" = oggcodecs 0.71.0946
"Orion2DeinstKey" = Master of Orion II
"PDFTiger_is1" = PDFTiger
"Samsung Universal Print Driver" = Samsung Universal Print Driver
"SMSERIAL" = Motorola SM56 Speakerphone Modem
"SpeedFan" = SpeedFan (remove only)
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.0.1
"VN_VUIns_Rhine_VIA" = VIA Rhine-Family Fast-Ethernet Adapter
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Winamp" = Winamp
"WinGimp-2.0_is1" = GIMP 2.6.7
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"uTorrent" = µTorrent
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 02.06.2011 11:38:53 | Computer Name = GOLEM1 | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  C:\Dokumente
 und Einstellungen\Administrator\Desktop\Images\P040311_18.14.jpg.   [ACCESS_VIOLATION
 Exception!! EIP = 0x1544245]   Bitte Avira informieren und die obige Datei übersenden!
 
Error - 03.06.2011 11:03:39 | Computer Name = GOLEM1 | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  C:\TEMP\svn6n.tmp\svp5c.tmp.

 [ACCESS_VIOLATION Exception!! EIP = 0x7c920a19]   Bitte Avira informieren und die
 obige Datei übersenden!
 
Error - 03.06.2011 16:08:21 | Computer Name = GOLEM1 | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  C:\Dokumente
 und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\k388n6qo.default\Cache\9\88\451E1d01.

 [ACCESS_VIOLATION Exception!! EIP = 0x1544210]   Bitte Avira informieren und die 
obige Datei übersenden!
 
Error - 04.06.2011 08:46:34 | Computer Name = GOLEM1 | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  C:\Dokumente
 und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\k388n6qo.default\Cache\0\C6\C6628d01.

 [ACCESS_VIOLATION Exception!! EIP = 0x1544202]   Bitte Avira informieren und die 
obige Datei übersenden!
 
Error - 05.06.2011 10:44:04 | Computer Name = GOLEM1 | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  C:\Dokumente
 und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\k388n6qo.default\Cache\_CACHE_002_.

 [ACCESS_VIOLATION Exception!! EIP = 0x1544210]   Bitte Avira informieren und die 
obige Datei übersenden!
 
Error - 05.06.2011 14:21:01 | Computer Name = GOLEM1 | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  C:\Dokumente
 und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\k388n6qo.default\Cache\_CACHE_003_.

 [ACCESS_VIOLATION Exception!! EIP = 0x1544202]   Bitte Avira informieren und die 
obige Datei übersenden!
 
Error - 07.06.2011 18:15:15 | Computer Name = GOLEM1 | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll.

 [ACCESS_VIOLATION Exception!! EIP = 0x15441e7]   Bitte Avira informieren und die 
obige Datei übersenden!
 
Error - 07.06.2011 18:15:31 | Computer Name = GOLEM1 | Source = Winlogon | ID = 1015
Description = Ein kritischer Systemprozess C:\WINDOWS\system32\lsass.exe ist fehlgeschlagen
 mit den Statuscode c0000005. Der Computer  muss neu gestartet werden.
 
Error - 07.06.2011 19:58:25 | Computer Name = GOLEM1 | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  C:\Dokumente
 und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\k388n6qo.default\Cache\8\05\E1607d01.

 [ACCESS_VIOLATION Exception!! EIP = 0x1544202]   Bitte Avira informieren und die 
obige Datei übersenden!
 
Error - 08.06.2011 21:29:14 | Computer Name = GOLEM1 | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  C:\Dokumente
 und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\cache\g_0002\opr05Z5K.tmp.

 [ACCESS_VIOLATION Exception!! EIP = 0x1544210]   Bitte Avira informieren und die 
obige Datei übersenden!
 
[ Cisco AnyConnect VPN Client Events ]
Error - 24.09.2011 19:12:35 | Computer Name = GOLEM1 | Source = vpnagent | ID = 67108866
Description = Function: CMainThread::applyHostConfigForNoVpn File: .\MainThread.cpp
Line:
 7578 Invoked Function: CHostConfigMgr::DeterminePublicInterface Return Code: -33095647
 (0xFE070021) Description: ROUTETABLE_ERROR_GETBESTROUTE_FAILED 
 
Error - 24.09.2011 19:12:35 | Computer Name = GOLEM1 | Source = vpnagent | ID = 67108866
Description = Function: CMainThread::MainLoop File: .\MainThread.cpp Line: 325 Invoked
 Function: CMainThread::applyHostConfigForNoVpn Return Code: -33095647 (0xFE070021)
Description:
 ROUTETABLE_ERROR_GETBESTROUTE_FAILED 
 
Error - 25.09.2011 15:09:36 | Computer Name = GOLEM1 | Source = vpnagent | ID = 67108866
Description = Function: CIPv4ChangeRouteHelper::FindBestRoute File: .\IPv4ChangeRouteHelper.cpp
Line:
 2484 Invoked Function: CIPv4RouteTable::FindMatchingRoute Return Code: -33095647 
(0xFE070021) Description: ROUTETABLE_ERROR_GETBESTROUTE_FAILED 
 
Error - 25.09.2011 15:09:36 | Computer Name = GOLEM1 | Source = vpnagent | ID = 67108866
Description = Function: CRouteMgr::UpdatePublicAddress File: .\RouteMgr.cpp Line: 
2188 Invoked Function: CChangeRouteTable::FindBestRouteInterface Return Code: -33095647
 (0xFE070021) Description: ROUTETABLE_ERROR_GETBESTROUTE_FAILED 
 
Error - 25.09.2011 15:09:36 | Computer Name = GOLEM1 | Source = vpnagent | ID = 67108866
Description = Function: CMainThread::applyHostConfigForNoVpn File: .\MainThread.cpp
Line:
 7578 Invoked Function: CHostConfigMgr::DeterminePublicInterface Return Code: -33095647
 (0xFE070021) Description: ROUTETABLE_ERROR_GETBESTROUTE_FAILED 
 
Error - 25.09.2011 15:09:36 | Computer Name = GOLEM1 | Source = vpnagent | ID = 67108866
Description = Function: CMainThread::MainLoop File: .\MainThread.cpp Line: 325 Invoked
 Function: CMainThread::applyHostConfigForNoVpn Return Code: -33095647 (0xFE070021)
Description:
 ROUTETABLE_ERROR_GETBESTROUTE_FAILED 
 
Error - 26.09.2011 17:23:02 | Computer Name = GOLEM1 | Source = vpnagent | ID = 67108866
Description = Function: CIPv4ChangeRouteHelper::FindBestRoute File: .\IPv4ChangeRouteHelper.cpp
Line:
 2484 Invoked Function: CIPv4RouteTable::FindMatchingRoute Return Code: -33095647 
(0xFE070021) Description: ROUTETABLE_ERROR_GETBESTROUTE_FAILED 
 
Error - 26.09.2011 17:23:02 | Computer Name = GOLEM1 | Source = vpnagent | ID = 67108866
Description = Function: CRouteMgr::UpdatePublicAddress File: .\RouteMgr.cpp Line: 
2188 Invoked Function: CChangeRouteTable::FindBestRouteInterface Return Code: -33095647
 (0xFE070021) Description: ROUTETABLE_ERROR_GETBESTROUTE_FAILED 
 
Error - 26.09.2011 17:23:02 | Computer Name = GOLEM1 | Source = vpnagent | ID = 67108866
Description = Function: CMainThread::applyHostConfigForNoVpn File: .\MainThread.cpp
Line:
 7578 Invoked Function: CHostConfigMgr::DeterminePublicInterface Return Code: -33095647
 (0xFE070021) Description: ROUTETABLE_ERROR_GETBESTROUTE_FAILED 
 
Error - 26.09.2011 17:23:02 | Computer Name = GOLEM1 | Source = vpnagent | ID = 67108866
Description = Function: CMainThread::MainLoop File: .\MainThread.cpp Line: 325 Invoked
 Function: CMainThread::applyHostConfigForNoVpn Return Code: -33095647 (0xFE070021)
Description:
 ROUTETABLE_ERROR_GETBESTROUTE_FAILED 
 
[ System Events ]
Error - 27.09.2011 08:57:04 | Computer Name = GOLEM1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "DgiVecp" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 27.09.2011 08:57:04 | Computer Name = GOLEM1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSPORT" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 27.09.2011 08:57:04 | Computer Name = GOLEM1 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   uagp35
 
Error - 27.09.2011 09:08:12 | Computer Name = GOLEM1 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 27.09.2011 09:09:13 | Computer Name = GOLEM1 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 27.09.2011 09:09:13 | Computer Name = GOLEM1 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 27.09.2011 09:09:13 | Computer Name = GOLEM1 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 27.09.2011 09:09:13 | Computer Name = GOLEM1 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Cisco AnyConnect VPN Agent" ist vom Dienst "TCP/IP-Protokolltreiber"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 27.09.2011 09:09:13 | Computer Name = GOLEM1 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 27.09.2011 09:09:13 | Computer Name = GOLEM1 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  AmdK7  avgio  avipbb  Fips  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  ssmdrv  Tcpip
 
 
< End of report >

GMER meldet beim Start:

Code:

ATTFilter

LoadDriver ("C:\TEMP\awtdqpow.sys") error 0xC000010E: Ein dauerhafter Unterschlüssel kann nicht mit einem temporären übergeordneten Schlüssel erstellt werden.

Die lt. Anleitung zu enthakenden Kästchen sind von vornerein grau und enthakt, der Scan sagt nach ner halben Stunde, dass er keine Veränderungen gefunden hat

Wie krieg ich die ungewünschten Gäste von meinem System? Und was kann ich wegen der versteckten Dateien und fürs Startmenü tun?
Vielen Dank für die Hilfe schonmal!

cosinus · 27.09.2011, 15:22

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

DavidDonut · 28.09.2011, 01:28

Hallo Arne,

aswMBR.exe lässt sich nicht starten. Hab sie runtergeladen, nach Doppelklick passiert nichts.
(Ein Malwarebytes-Update klappt auch nicht.)
(Seit gestern hatte ich nach dem Booten übrigens auch eine Bios-Meldung "Keyboard is locked out - unlock the key" auch wenn gar keine Tastatur angeschlossen war.)

Und nun?

cosinus · 28.09.2011, 09:42

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Internet Explorer\SearchURL\g, = http://www.google.com/search?q=%s
FF - prefs.js..network.proxy.backup.ftp: "68.169.161.49"
FF - prefs.js..network.proxy.backup.ftp_port: 8080
FF - prefs.js..network.proxy.backup.gopher: "89.21.229.88"
FF - prefs.js..network.proxy.backup.gopher_port: 80
FF - prefs.js..network.proxy.backup.socks: "68.169.161.49"
FF - prefs.js..network.proxy.backup.socks_port: 8080
FF - prefs.js..network.proxy.backup.ssl: "68.169.161.49"
FF - prefs.js..network.proxy.backup.ssl_port: 8080
FF - prefs.js..network.proxy.ftp: "65.110.6.44"
FF - prefs.js..network.proxy.gopher: "89.21.229.88"
FF - prefs.js..network.proxy.gopher_port: 80
FF - prefs.js..network.proxy.http: "65.110.6.44"
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "65.110.6.44"
FF - prefs.js..network.proxy.ssl: "65.110.6.44"
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.10.04 14:04:12 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{2a2dd7be-421b-11e0-9eaa-0011675aaa9b}\Shell - "" = AutoRun
O33 - MountPoints2\{2a2dd7be-421b-11e0-9eaa-0011675aaa9b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{2a2dd7be-421b-11e0-9eaa-0011675aaa9b}\Shell\AutoRun\command - "" = E:\USBAutoRun.exe
O33 - MountPoints2\{7a13ba7b-df23-11de-9bc5-0011675aaa9b}\Shell - "" = AutoRun
O33 - MountPoints2\{7a13ba7b-df23-11de-9bc5-0011675aaa9b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{7a13ba7b-df23-11de-9bc5-0011675aaa9b}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL P.EXE
O33 - MountPoints2\{ebdc6630-a4c4-11e0-9f81-000ea61d3337}\Shell\AutoRun\command - "" = C:\WINDOWS\System32\cmd.exe -- [2008.04.14 07:52:40 | 000,401,920 | -H-- | M] (Microsoft Corporation)
O33 - MountPoints2\{ebdc6630-a4c4-11e0-9f81-000ea61d3337}\Shell\explore\command - "" = C:\WINDOWS\System32\cmd.exe -- [2008.04.14 07:52:40 | 000,401,920 | -H-- | M] (Microsoft Corporation)
O33 - MountPoints2\{ebdc6630-a4c4-11e0-9f81-000ea61d3337}\Shell\open\command - "" = C:\WINDOWS\System32\cmd.exe -- [2008.04.14 07:52:40 | 000,401,920 | -H-- | M] (Microsoft Corporation)
[2011.09.27 04:43:44 | 000,346,624 | -H-- | C] (NetPlay Software) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6DSS92c31Apgjk.exe
[2011.09.27 04:37:49 | 000,455,680 | -H-- | C] (NetPlay Software) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OpdotwhWLtLW.exe
[2011.09.27 14:57:28 | 000,000,336 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6DSS92c31Apgjk
@Alternate Data Stream - 229 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0
:Commands
[emptytemp]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

DavidDonut · 28.09.2011, 17:56

Danke, das scheint gewirkt zu haben:

Code:

ATTFilter

All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKCU\Software\Microsoft\Internet Explorer\SearchURL\g\\| /E : value set successfully!
Prefs.js: "68.169.161.49" removed from network.proxy.backup.ftp
Prefs.js: 8080 removed from network.proxy.backup.ftp_port
Prefs.js: "89.21.229.88" removed from network.proxy.backup.gopher
Prefs.js: 80 removed from network.proxy.backup.gopher_port
Prefs.js: "68.169.161.49" removed from network.proxy.backup.socks
Prefs.js: 8080 removed from network.proxy.backup.socks_port
Prefs.js: "68.169.161.49" removed from network.proxy.backup.ssl
Prefs.js: 8080 removed from network.proxy.backup.ssl_port
Prefs.js: "65.110.6.44" removed from network.proxy.ftp
Prefs.js: "89.21.229.88" removed from network.proxy.gopher
Prefs.js: 80 removed from network.proxy.gopher_port
Prefs.js: "65.110.6.44" removed from network.proxy.http
Prefs.js: true removed from network.proxy.share_proxy_settings
Prefs.js: "65.110.6.44" removed from network.proxy.socks
Prefs.js: "65.110.6.44" removed from network.proxy.ssl
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2a2dd7be-421b-11e0-9eaa-0011675aaa9b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2a2dd7be-421b-11e0-9eaa-0011675aaa9b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2a2dd7be-421b-11e0-9eaa-0011675aaa9b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2a2dd7be-421b-11e0-9eaa-0011675aaa9b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2a2dd7be-421b-11e0-9eaa-0011675aaa9b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2a2dd7be-421b-11e0-9eaa-0011675aaa9b}\ not found.
File E:\USBAutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7a13ba7b-df23-11de-9bc5-0011675aaa9b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7a13ba7b-df23-11de-9bc5-0011675aaa9b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7a13ba7b-df23-11de-9bc5-0011675aaa9b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7a13ba7b-df23-11de-9bc5-0011675aaa9b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7a13ba7b-df23-11de-9bc5-0011675aaa9b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7a13ba7b-df23-11de-9bc5-0011675aaa9b}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL P.EXE not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ebdc6630-a4c4-11e0-9f81-000ea61d3337}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ebdc6630-a4c4-11e0-9f81-000ea61d3337}\ not found.
C:\WINDOWS\system32\cmd.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ebdc6630-a4c4-11e0-9f81-000ea61d3337}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ebdc6630-a4c4-11e0-9f81-000ea61d3337}\ not found.
File C:\WINDOWS\System32\cmd.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ebdc6630-a4c4-11e0-9f81-000ea61d3337}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ebdc6630-a4c4-11e0-9f81-000ea61d3337}\ not found.
File C:\WINDOWS\System32\cmd.exe not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6DSS92c31Apgjk.exe moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OpdotwhWLtLW.exe moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6DSS92c31Apgjk moved successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0 deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Admin
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Administrator
->Temp folder emptied: 824 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Java cache emptied: 2370905 bytes
->FireFox cache emptied: 7884919 bytes
->Opera cache emptied: 34006846 bytes
->Flash cache emptied: 1513 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Gast
->Temp folder emptied: 222 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 89857926 bytes
->Flash cache emptied: 1231 bytes
 
User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2605713 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1765117 bytes
RecycleBin emptied: 29691548 bytes
 
Total Files Cleaned = 161,00 mb
 
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.29.1 log created on 09282011_185318

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Wie geht's weiter?

Gruß

cosinus · 28.09.2011, 19:51

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )

Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

DavidDonut · 29.09.2011, 15:29

Das Kaspersky-Tool lässt sich nicht starten. Es liegt auf dem Desktop, aber Doppelklick bewirkt nichts. Im Task-Manager wird auch kein neuer Prozess angezeigt (wie schon vorher bei aswMBR.exe).
Unhide lässt sich auch nicht starten. Meldet, dass er "unhide.bat" nicht finden kann.

cosinus · 29.09.2011, 18:42

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

DavidDonut · 30.09.2011, 08:44

So'n Mist.. ComboFix bleibt hängen: Er dekomprimiert ziemlich fix einen Haufen Dateien, und tut dann nichts mehr.. (so zumindest mein Eindruck nach 20 Minuten):

cosinus · 30.09.2011, 10:11

Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte nochmal.

30.09.2011, 10:11	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TaskManager weg, Desktop/Startmenü leer, Wallpaper schwarz Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte nochmal. __________________ Logfiles bitte immer in CODE-Tags posten

TaskManager weg, Desktop/Startmenü leer, Wallpaper schwarz

Plagegeister aller Art und deren Bekämpfung: TaskManager weg, Desktop/Startmenü leer, Wallpaper schwarz