Nach BKA Tojaner-Entfernung fehlt Explorer.exe

donkeybridge · 07.12.2011, 23:11

Hallo zusammen,

mein Computer war mit einem BKA-Trojaner befallen. Dieser hat sich in Explorer.exe versteckt. Dank Nortons Rescue CD habe ich diesen entfernen können. Der Trojaner erscheint beim Starten von Windows nicht mehr. Jedoch erscheint auch der Desktop nicht mehr, da Explorer.exe auf meiem PC nicht mehr existiert.

Ich weiß nicht ob die Info von Nutzen ist: Mein Betriebssystem ist Win Xp professional.

vielen Dank im Vorraus!
donkeybridge

Larusso · 08.12.2011, 06:14

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden
Sollte ich innerhalb der nächsten 3 Tage keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Darum liebe ich diese Resuce CDs -.-

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.manifest /3
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Wenn der Scan beendet wurde, wird sich ein Textdokument öffnen.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

donkeybridge · 08.12.2011, 16:06

Hallo Daniel,

ich bedanke mich schonmal ganz herzlich im vorraus. Unten findest du zuerst die OTL und dann die Extra Datei.

lg HannoOTL Logfile:

Code:

ATTFilter

OTL logfile created on: 08.12.2011 15:53:57 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\Hanno.HE\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,56 Gb Available Physical Memory | 78,15% Memory free
3,85 Gb Paging File | 3,51 Gb Available in Paging File | 91,17% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 53,91 Gb Free Space | 72,34% Space Free | Partition Type: NTFS
Drive D: | 152,66 Gb Total Space | 83,58 Gb Free Space | 54,75% Space Free | Partition Type: NTFS
Drive E: | 1,87 Gb Total Space | 1,87 Gb Free Space | 99,78% Space Free | Partition Type: FAT32
 
Computer Name: HE | User Name: Hanno | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.12.08 15:50:59 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\OTL.exe
PRC - [2011.07.21 11:08:02 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.06.30 08:37:28 | 001,793,712 | ---- | M] (COMODO) -- C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
PRC - [2011.04.21 06:53:10 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.04.21 06:52:51 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2002.05.02 09:53:54 | 000,028,672 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Intel\LDCM\BIN\IIDS.exe
PRC - [2002.03.28 15:35:22 | 000,065,536 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\BootStrap Agent\bsa.exe
PRC - [2000.03.16 13:37:34 | 000,184,320 | ---- | M] (Smart Technology Enablers) -- C:\Programme\Intel\Dmi\Bin\Win32sl.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.07.21 14:12:30 | 000,355,688 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2011.06.06 11:55:32 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
MOD - [2004.08.03 14:35:14 | 000,086,016 | ---- | M] () -- C:\WINXP\system32\ati2evxx.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] --  -- (wuauserv)
SRV - [2011.07.21 11:08:02 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.06.30 08:37:28 | 001,793,712 | ---- | M] (COMODO) [Auto | Running] -- C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdAgent)
SRV - [2011.04.21 06:52:51 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2006.10.26 18:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006.10.26 13:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2002.05.02 10:06:28 | 000,020,480 | ---- | M] (Intel(R) Corporation) [Auto | Stopped] -- C:\Programme\Intel\LDCM\CI\CIMGR\CiMgrLdr.exe -- (Intel CI Manager)
SRV - [2002.05.02 10:01:34 | 000,036,947 | ---- | M] (Intel(R) Corporation) [Auto | Stopped] -- C:\Programme\Intel\LDCM\BIN\SSM.exe -- (Intel SSM)
SRV - [2002.05.02 09:53:54 | 000,028,672 | ---- | M] (Intel(R) Corporation) [Auto | Running] -- C:\Programme\Intel\LDCM\BIN\IIDS.exe -- (Intel IIDS)
SRV - [2002.03.28 15:35:22 | 000,065,536 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Programme\Intel\BootStrap Agent\Bsa.exe -- (Intel Bootstrap Agent)
SRV - [2000.03.16 13:37:34 | 000,184,320 | ---- | M] (Smart Technology Enablers) [Auto | Running] -- C:\Programme\Intel\DMI\BIN\WIN32SL.EXE -- (win32sl)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.07.21 11:11:12 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.21 11:11:11 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINXP\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.06.30 08:38:16 | 000,097,504 | ---- | M] (COMODO) [Kernel | Boot | Running] -- C:\WINXP\System32\DRIVERS\inspect.sys -- (Inspect)
DRV - [2011.06.30 08:38:14 | 000,242,600 | ---- | M] (COMODO) [File_System | System | Running] -- C:\WINXP\system32\drivers\cmdGuard.sys -- (cmdGuard)
DRV - [2011.06.30 08:38:14 | 000,029,400 | ---- | M] (COMODO) [Kernel | System | Running] -- C:\WINXP\system32\drivers\cmdhlp.sys -- (cmdHlp)
DRV - [2009.10.08 16:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.09.29 15:05:15 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2004.10.27 06:24:00 | 000,223,104 | ---- | M] (Marvell) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\yk51x86.sys -- (yukonwxp)
DRV - [2004.08.26 06:12:34 | 002,241,280 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2004.08.03 14:36:50 | 000,768,512 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2004.03.17 14:10:40 | 000,113,664 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\Hdaudio.sys -- (HdAudAddService)
DRV - [2002.05.02 10:24:28 | 000,009,978 | ---- | M] () [Kernel | Auto | Running] -- C:\WINXP\System32\drivers\cismbios.sys -- (CiSmBios)
DRV - [1997.04.22 17:16:00 | 000,006,272 | ---- | M] () [Kernel | Auto | Running] -- C:\WINXP\system32\drivers\Aslm75.sys -- (aslm75)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Facemoods Search
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 34 71 D5 C6 6B 66 CC 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINXP\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.69\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.69\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\WINXP\system32\5052 [2011.12.01 15:47:21 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.11.11 14:00:09 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\WINXP\system32\5052 [2011.12.01 15:47:21 | 000,000,000 | ---D | M]
 
[2011.08.29 21:12:08 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Hanno.HE\Anwendungsdaten\Mozilla\Extensions
[2011.09.02 22:18:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Hanno.HE\Anwendungsdaten\Mozilla\Firefox\Profiles\jri805ol.default\extensions
[2011.09.02 22:18:49 | 000,000,000 | ---D | M] (Facemoods) -- C:\Dokumente und Einstellungen\Hanno.HE\Anwendungsdaten\Mozilla\Firefox\Profiles\jri805ol.default\extensions\ffxtlbr@Facemoods.com
[2011.09.02 22:14:40 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.09.02 22:14:40 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}
[2011.12.01 15:47:21 | 000,000,000 | ---D | M] (Java String Helper) -- C:\WINXP\SYSTEM32\5052
[2011.11.11 14:00:08 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.10.07 16:56:36 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.10.07 16:56:36 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.10.07 16:56:36 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.09.02 22:18:53 | 000,002,048 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\fcmdSrch.xml
[2010.12.13 13:36:54 | 000,002,035 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\fcmdSrchddr.xml
[2011.10.07 16:56:36 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.10.07 16:56:36 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.10.07 16:56:36 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider:  ()
CHR - default_search_provider: search_url = 
CHR - default_search_provider: suggest_url = 
 
O1 HOSTS File: ([2011.12.07 22:51:48 | 000,000,027 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AlcWzrd] C:\WINXP\ALCWZRD.EXE (RealTek Semicoductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [COMODO Internet Security] C:\Programme\COMODO\COMODO Internet Security\cfp.exe (COMODO)
O4 - HKLM..\Run: [LDCMSync] C:\Programme\Intel\LDCM\BIN\LDCMSync.exe ()
O4 - HKLM..\Run: [SoundMan] C:\WINXP\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [User Space Manager] C:\Programme\Intel\LDCM\BIN\USM.exe (Intel(R) Corporation)
O4 - HKLM..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] C:\WINXP\System32\Hdaudpropshortcut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKCU..\Run: [ccleaner] C:\Programme\CCleaner\CCleaner.exe (Piriform Ltd)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{718814C6-5F9C-4291-B5E6-1B5F68179B6C}: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{718814C6-5F9C-4291-B5E6-1B5F68179B6C}: NameServer = 156.154.70.25,156.154.71.25
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\WINXP\system32\guard32.dll) -C:\WINXP\system32\guard32.dll (COMODO)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - File not found
O20 - HKLM Winlogon: UserInit - (C:\WINXP\system32\userinit.exe) -C:\WINXP\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINXP\System32\ati2evxx.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.07.12 14:16:28 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - Unable to obtain root file information for disk E:\
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINXP\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINXP\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINXP\system32\ie4uinit.exe -BaseSettings
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINXP\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINXP\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINXP\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIEActiveSetup SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
ActiveX: >{99820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: Microsoft Base Smart Card Crypto Provider Package - 
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: wuauserv -  File not found
 
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.12.08 15:50:47 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\OTL.exe
[2011.12.08 06:52:57 | 000,000,000 | ---D | C] -- C:\NBRT
[2011.12.08 06:38:59 | 000,000,000 | ---D | C] -- C:\NPE
[2011.12.07 22:54:27 | 000,000,000 | ---D | C] -- C:\WINXP\temp
[2011.12.07 22:40:12 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINXP\SWREG.exe
[2011.12.07 22:40:12 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINXP\SWSC.exe
[2011.12.07 22:40:12 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINXP\SWXCACLS.exe
[2011.12.07 22:40:12 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINXP\NIRCMD.exe
[2011.12.07 22:40:05 | 000,000,000 | ---D | C] -- C:\WINXP\ERDNT
[2011.12.07 22:39:17 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.12.07 22:39:08 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Hanno.HE\Startmenü\Programme\Verwaltung
[2011.12.06 14:34:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\Paulina_-_Lake_of_dreams
[2011.12.06 14:02:38 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Hanno.HE\Recent
[2011.12.01 21:37:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hanno.HE\Lokale Einstellungen\Anwendungsdaten\NPE
[2011.12.01 21:37:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Norton
[2011.12.01 21:37:03 | 002,563,800 | ---- | C] (Symantec Corporation) -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\NPE21.exe
[2011.12.01 21:34:40 | 000,000,000 | -HSD | C] -- C:\WINXP\CSC
[2011.12.01 15:47:20 | 000,000,000 | ---D | C] -- C:\WINXP\System32\5052
[2011.11.28 15:53:30 | 000,000,000 | ---D | C] -- C:\WINXP\System32\5050
[2011.11.14 13:52:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\2011 BMX Pics Jens
[2011.11.14 13:50:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\2011 BuLi Kornwestheim
[2011.08.29 17:35:18 | 000,135,168 | R--- | C] ( ) -- C:\WINXP\System32\ATIDEMGR.dll
[2 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.12.08 15:50:59 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\OTL.exe
[2011.12.08 15:45:37 | 000,000,256 | ---- | M] () -- C:\WINXP\tasks\WGASetup.job
[2011.12.08 15:45:05 | 000,001,084 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job
[2011.12.08 15:45:00 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2011.12.07 22:51:48 | 000,000,027 | ---- | M] () -- C:\WINXP\System32\drivers\etc\hosts
[2011.12.06 15:10:26 | 000,000,008 | ---- | M] () -- C:\Dokumente und Einstellungen\Hanno.HE\Anwendungsdaten\fuiphh118fjzap0b.dat
[2011.12.06 14:34:36 | 000,127,488 | ---- | M] () -- C:\Dokumente und Einstellungen\Hanno.HE\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.12.06 14:34:04 | 076,989,603 | ---- | M] () -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\Paulina_-_Lake_of_dreams.rar
[2011.12.06 14:24:54 | 000,001,088 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineUA.job
[2011.12.06 14:20:48 | 104,857,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\sn710.en.part3.rar
[2011.12.06 14:16:01 | 104,857,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\sn710.en.part2.rar
[2011.12.06 14:13:43 | 052,406,088 | ---- | M] () -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\sn710.en.part4.rar
[2011.12.06 14:11:47 | 104,857,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\sn710.en.part1.rar
[2011.12.05 15:38:43 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2011.12.01 21:37:08 | 002,563,800 | ---- | M] (Symantec Corporation) -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\NPE21.exe
[2011.12.01 21:36:17 | 000,000,068 | ---- | M] () -- C:\WINXP\System32\blckdom.res
[2011.11.27 13:22:28 | 000,000,539 | ---- | M] () -- C:\WINXP\install.rdf
[2 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.12.07 22:40:12 | 000,256,000 | ---- | C] () -- C:\WINXP\PEV.exe
[2011.12.07 22:40:12 | 000,208,896 | ---- | C] () -- C:\WINXP\MBR.exe
[2011.12.07 22:40:12 | 000,098,816 | ---- | C] () -- C:\WINXP\sed.exe
[2011.12.07 22:40:12 | 000,080,412 | ---- | C] () -- C:\WINXP\grep.exe
[2011.12.07 22:40:12 | 000,068,096 | ---- | C] () -- C:\WINXP\zip.exe
[2011.12.06 15:10:26 | 000,000,008 | ---- | C] () -- C:\Dokumente und Einstellungen\Hanno.HE\Anwendungsdaten\fuiphh118fjzap0b.dat
[2011.12.06 14:33:54 | 076,989,603 | ---- | C] () -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\Paulina_-_Lake_of_dreams.rar
[2011.12.06 14:15:02 | 104,857,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\sn710.en.part2.rar
[2011.12.06 14:14:08 | 104,857,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\sn710.en.part3.rar
[2011.12.06 14:13:19 | 052,406,088 | ---- | C] () -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\sn710.en.part4.rar
[2011.12.06 14:10:55 | 104,857,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Hanno.HE\Desktop\sn710.en.part1.rar
[2011.11.23 16:09:11 | 000,000,539 | ---- | C] () -- C:\WINXP\install.rdf
[2011.11.23 16:09:06 | 000,000,068 | ---- | C] () -- C:\WINXP\System32\blckdom.res
[2011.08.30 20:49:11 | 000,127,488 | ---- | C] () -- C:\Dokumente und Einstellungen\Hanno.HE\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.08.29 17:48:38 | 000,192,512 | ---- | C] () -- C:\WINXP\System32\RTCOMDLL.dll
[2011.08.29 17:48:38 | 000,156,160 | ---- | C] () -- C:\WINXP\System32\RTLCPAPI.dll
[2011.08.29 17:38:46 | 000,009,978 | ---- | C] () -- C:\WINXP\System32\drivers\cismbios.sys
[2011.08.29 17:38:26 | 000,028,672 | ---- | C] () -- C:\WINXP\System32\Uicm_oem.dll
[2011.08.29 17:38:26 | 000,006,272 | ---- | C] () -- C:\WINXP\System32\drivers\Aslm75.sys
[2011.08.29 17:36:48 | 000,002,460 | ---- | C] () -- C:\WINXP\Ascd_tmp.ini
[2011.08.29 17:36:46 | 000,006,144 | ---- | C] () -- C:\WINXP\System32\drivers\Asushwio.sys
[2011.08.29 17:35:27 | 000,516,096 | ---- | C] () -- C:\WINXP\System32\ati2sgag.exe
[2011.08.29 17:24:41 | 000,002,048 | --S- | C] () -- C:\WINXP\bootstat.dat
[2011.08.29 17:13:38 | 000,021,740 | ---- | C] () -- C:\WINXP\System32\emptyregdb.dat
[2011.08.29 16:55:15 | 000,004,073 | ---- | C] () -- C:\WINXP\ODBCINST.INI
[2011.08.29 16:51:19 | 000,136,464 | ---- | C] () -- C:\WINXP\System32\FNTCACHE.DAT
[2008.04.14 07:00:00 | 013,107,200 | ---- | C] () -- C:\WINXP\System32\oembios.bin
[2008.04.14 07:00:00 | 000,673,088 | ---- | C] () -- C:\WINXP\System32\mlang.dat
[2008.04.14 07:00:00 | 000,320,434 | ---- | C] () -- C:\WINXP\System32\perfh007.dat
[2008.04.14 07:00:00 | 000,314,644 | ---- | C] () -- C:\WINXP\System32\perfh009.dat
[2008.04.14 07:00:00 | 000,272,128 | ---- | C] () -- C:\WINXP\System32\perfi009.dat
[2008.04.14 07:00:00 | 000,269,480 | ---- | C] () -- C:\WINXP\System32\perfi007.dat
[2008.04.14 07:00:00 | 000,218,003 | ---- | C] () -- C:\WINXP\System32\dssec.dat
[2008.04.14 07:00:00 | 000,049,364 | ---- | C] () -- C:\WINXP\System32\perfc007.dat
[2008.04.14 07:00:00 | 000,046,258 | ---- | C] () -- C:\WINXP\System32\mib.bin
[2008.04.14 07:00:00 | 000,040,972 | ---- | C] () -- C:\WINXP\System32\perfc009.dat
[2008.04.14 07:00:00 | 000,034,478 | ---- | C] () -- C:\WINXP\System32\perfd007.dat
[2008.04.14 07:00:00 | 000,028,626 | ---- | C] () -- C:\WINXP\System32\perfd009.dat
[2008.04.14 07:00:00 | 000,004,569 | ---- | C] () -- C:\WINXP\System32\secupd.dat
[2008.04.14 07:00:00 | 000,004,463 | ---- | C] () -- C:\WINXP\System32\oembios.dat
[2008.04.14 07:00:00 | 000,001,804 | ---- | C] () -- C:\WINXP\System32\Dcache.bin
[2008.04.14 07:00:00 | 000,000,741 | ---- | C] () -- C:\WINXP\System32\noise.dat
[2004.08.03 14:35:14 | 000,086,016 | ---- | C] () -- C:\WINXP\System32\ati2evxx.dll
[2004.08.03 14:35:08 | 000,389,120 | ---- | C] () -- C:\WINXP\System32\ati2evxx.exe
 
========== LOP Check ==========
 
[2011.08.31 00:06:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\EPSON
[2011.12.08 15:45:37 | 000,000,256 | ---- | M] () -- C:\WINXP\Tasks\WGASetup.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2011.12.06 15:17:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2011.07.13 12:56:32 | 000,000,000 | R--D | M] -- C:\MSOCache
[2011.12.08 07:26:33 | 000,000,000 | ---D | M] -- C:\NBRT
[2011.09.05 22:42:00 | 000,000,000 | ---D | M] -- C:\Neuer Ordner
[2011.12.08 06:38:59 | 000,000,000 | ---D | M] -- C:\NPE
[2011.12.07 22:50:25 | 000,000,000 | R--D | M] -- C:\Programme
[2011.12.07 22:54:27 | 000,000,000 | ---D | M] -- C:\Qoobox
[2011.08.29 17:29:12 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.09.23 14:49:12 | 000,000,000 | ---D | M] -- C:\VritualRoot
[2011.12.07 22:54:27 | 000,000,000 | ---D | M] -- C:\WINXP
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.manifest /3 >
[2 C:\WINXP\system32\*.tmp files -> C:\WINXP\system32\*.tmp -> ]
 
 
< MD5 for: REGEDIT.EXE  >
[2008.04.14 07:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINXP\ERDNT\cache\regedit.exe
[2008.04.14 07:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINXP\regedit.exe
[2008.04.14 07:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINXP\system32\dllcache\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 07:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINXP\ERDNT\cache\userinit.exe
[2008.04.14 07:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINXP\system32\dllcache\userinit.exe
[2008.04.14 07:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINXP\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2008.04.14 07:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINXP\ERDNT\cache\winlogon.exe
[2008.04.14 07:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINXP\system32\dllcache\winlogon.exe
[2008.04.14 07:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINXP\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-11-11 13:02:43
 
<           >

< End of report >

--- --- ---

OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 08.12.2011 15:53:57 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\Hanno.HE\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,56 Gb Available Physical Memory | 78,15% Memory free
3,85 Gb Paging File | 3,51 Gb Available in Paging File | 91,17% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 53,91 Gb Free Space | 72,34% Space Free | Partition Type: NTFS
Drive D: | 152,66 Gb Total Space | 83,58 Gb Free Space | 54,75% Space Free | Partition Type: NTFS
Drive E: | 1,87 Gb Total Space | 1,87 Gb Free Space | 99,78% Space Free | Partition Type: FAT32
 
Computer Name: HE | User Name: Hanno | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L
Drive [find] -- %SystemRoot%\Explorer.exe
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Intel\LDCM\BIN\USM.exe" = C:\Programme\Intel\LDCM\BIN\USM.exe:*:Enabled:Intel(R) LANDesk(R) Client Manager User Space Manager -- (Intel(R) Corporation)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java(TM) 6 Update 27
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}" = ATI HydraVision
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{91120000-0012-0000-0000-0000000FF1CE}" = Microsoft Office Standard 2007
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Deutsch
"{C950420B-4182-49EA-850A-A6A2ABF06C6B}" = Marvell Miniport Driver
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FD8E178D-8B4E-42DA-B434-EFF270329B1C}" = COMODO Internet Security
"5513-1208-7298-9440" = JDownloader 0.9
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ASUS BIOS Flash Utility for LDCM 6.3" = ASUS BIOS Flash Utility for LDCM 6.3
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"EPSON Scanner" = EPSON Scan
"EPSON SX210 Series" = Druckerdeinstallation für EPSON SX210 Series
"Google Chrome" = Google Chrome
"Mozilla Firefox 8.0 (x86 de)" = Mozilla Firefox 8.0 (x86 de)
"STANDARDR" = Microsoft Office Standard 2007
"VLC media player" = VLC media player 1.1.11
"WinRAR archiver" = WinRAR 4.01 (32-Bit)
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 24.10.2011 16:39:21 | Computer Name = HE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 25.10.2011 11:30:36 | Computer Name = HE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 25.10.2011 18:01:50 | Computer Name = HE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 26.10.2011 03:40:24 | Computer Name = HE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 27.10.2011 07:51:23 | Computer Name = HE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved
.
 
Error - 27.10.2011 09:39:08 | Computer Name = HE | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung WINWORD.EXE, Version 12.0.4518.1014, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 27.10.2011 15:52:19 | Computer Name = HE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 28.10.2011 02:02:42 | Computer Name = HE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 28.10.2011 06:41:12 | Computer Name = HE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved
.
 
Error - 28.10.2011 13:44:52 | Computer Name = HE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
[ System Events ]
Error - 07.12.2011 17:38:54 | Computer Name = HE | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 07.12.2011 17:38:54 | Computer Name = HE | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 07.12.2011 17:38:54 | Computer Name = HE | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 07.12.2011 17:38:54 | Computer Name = HE | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Intel CI Manager" ist vom Dienst "Intel SSM" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
Error - 07.12.2011 17:38:54 | Computer Name = HE | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  avgio  avipbb  cmdGuard  cmdHlp  Fips  intelppm  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  ssmdrv
Tcpip
 
Error - 07.12.2011 17:56:30 | Computer Name = HE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 07.12.2011 18:00:52 | Computer Name = HE | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatic Updates" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 07.12.2011 18:00:59 | Computer Name = HE | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Intel CI Manager" ist vom Dienst "Intel SSM" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%0
 
Error - 08.12.2011 10:45:16 | Computer Name = HE | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatic Updates" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 08.12.2011 10:45:26 | Computer Name = HE | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Intel CI Manager" ist vom Dienst "Intel SSM" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%0
 
 
< End of report >

--- --- ---

Larusso · 08.12.2011, 19:18

Zitat:

[2011.12.07 22:54:27 | 000,000,000 | ---D | M] -- C:\Qoobox

Hast du Combofix laufen lassen ? Wenn ja, warum ?

Zitat:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Poste mir, wenn vorhanden die C:\Combofix.txt

donkeybridge · 09.12.2011, 15:13

Hallo Daniel,

ich habe Combofix laufen lassen, weil ich nach meinem Problem gegoogelt habe und auf einen thread in dem Forum gestoßen bin. Da wurde gesagt, dass das helfen kann. Aber dass der explorer weg ist, war schon vor dieser Anwendung.

Ich habe einfach mal ganz banal explorer.exe von einem Freund gezogen, in den Win Ordner eingefügt und es hat geklappt. Es funktioniert jetzt wieder alles.

Vielen Dank für deine Mühe und Zeit!!!

lg Hanno

Nach BKA Tojaner-Entfernung fehlt Explorer.exe

Plagegeister aller Art und deren Bekämpfung: Nach BKA Tojaner-Entfernung fehlt Explorer.exe