Anstatt Desktop Weisser Bildschirm: Bitte warten sie während die Verbindung hergestellt wird

Micha2 · 14.03.2012, 17:31

Hallo,

seit gestern Abend erscheint beim starten des Rechners nicht mehr der Desktop, sondern nur noch ein weisser Bildschirm mit der o.a Nachricht. Im abgesicherten Modus läufts auch nicht besser. Habe schon den OTL-scan ausgeführt und hoffe man kann mir helfen.

OTL logfile created on: 3/14/2012 4:11:42 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,022.00 Mb Total Physical Memory | 831.00 Mb Available Physical Memory | 81.00% Memory free
906.00 Mb Paging File | 851.00 Mb Available in Paging File | 94.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 372.60 Gb Total Space | 235.74 Gb Free Space | 63.27% Space Free | Partition Type: NTFS
Drive D: | 152.66 Gb Total Space | 149.15 Gb Free Space | 97.70% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001

========== Win32 Services (SafeList) ==========

SRV - [2011/07/05 12:30:02 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/04/21 01:52:51 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011/03/16 05:42:06 | 000,407,336 | ---- | M] (Valve Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2010/09/06 13:56:38 | 000,247,096 | ---- | M] () [Auto] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service)
SRV - [2009/09/23 08:38:18 | 000,935,208 | ---- | M] (Nero AG) [Auto] -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
SRV - [2009/08/10 08:19:30 | 000,093,848 | ---- | M] (SiSoftware) [On_Demand] -- C:\Programme\SiSoftware\SiSoftware Sandra Lite 2010.SP3\RpcAgentSrv.exe -- (SandraAgentSrv)
SRV - [2008/11/27 11:37:24 | 000,554,264 | ---- | M] (Acronis) [Auto] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2008/07/09 03:05:18 | 000,075,304 | ---- | M] (Zone Labs, LLC) [Auto] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon)
SRV - [2007/11/14 15:46:00 | 000,131,072 | ---- | M] (Brio) [Auto] -- C:\Programme\FolderSize\FolderSizeSvc.exe -- (FolderSize)
SRV - [2005/07/06 06:14:12 | 000,471,040 | ---- | M] (Lexmark International, Inc.) [On_Demand] -- C:\WINDOWS\System32\lxcecoms.exe -- (lxce_device)

========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2011/07/05 12:30:03 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/07/05 12:30:03 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009/10/17 14:02:40 | 000,971,552 | ---- | M] (Acronis) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\tdrpm174.sys -- (tdrpman174) Acronis Try&Decide and Restore Points filter (build 174)
DRV - [2009/10/17 14:02:37 | 000,540,000 | ---- | M] (Acronis) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\timntr.sys -- (timounter)
DRV - [2009/10/17 14:02:37 | 000,044,704 | ---- | M] (Acronis) [File_System | Auto] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter)
DRV - [2009/10/17 14:02:30 | 000,134,272 | ---- | M] (Acronis) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\snman380.sys -- (snapman380) Acronis Snapshots Manager (Build 380)
DRV - [2009/10/17 13:48:49 | 000,717,296 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2009/10/08 11:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/08/07 17:46:56 | 000,023,112 | ---- | M] (SiSoftware) [Kernel | On_Demand] -- C:\Programme\SiSoftware\SiSoftware Sandra Lite 2010.SP3\WNt500x86\sandra.sys -- (SANDRA)
DRV - [2009/02/13 06:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009/01/22 07:57:52 | 000,173,568 | ---- | M] (Promise Technology, Inc.) [Kernel | Boot] -- C:\WINDOWS\System32\drivers\ftsata2.sys -- (ftsata2)
DRV - [2009/01/22 07:57:48 | 000,209,200 | ---- | M] (Silicon Image, Inc) [Kernel | Boot] -- C:\WINDOWS\System32\drivers\Si3114r5.sys -- (Si3114r5)
DRV - [2009/01/22 07:57:46 | 000,069,168 | ---- | M] (Silicon Image, Inc.) [Kernel | Boot] -- C:\WINDOWS\System32\drivers\si3112.sys -- (Si3112)
DRV - [2009/01/22 07:57:45 | 000,181,760 | ---- | M] (Silicon Image, Inc) [Kernel | Boot] -- C:\WINDOWS\System32\drivers\Si3132r5.sys -- (Si3132r5)
DRV - [2009/01/22 07:57:43 | 000,074,800 | ---- | M] (Silicon Image, Inc.) [Kernel | Boot] -- C:\WINDOWS\System32\drivers\si3132.sys -- (Si3132)
DRV - [2009/01/22 07:57:42 | 000,069,248 | ---- | M] (Silicon Image, Inc.) [Kernel | Boot] -- C:\WINDOWS\System32\drivers\si3124.sys -- (Si3124)
DRV - [2009/01/22 07:57:36 | 000,105,344 | ---- | M] (NVIDIA Corporation) [Kernel | Boot] -- C:\WINDOWS\System32\drivers\nvatabus.sys -- (nvatabus)
DRV - [2009/01/22 07:54:10 | 000,025,244 | ---- | M] (Adaptec) [Kernel | System] -- C:\WINDOWS\System32\drivers\aspi32.sys -- (Aspi32)
DRV - [2008/07/09 03:05:22 | 000,394,952 | ---- | M] (Zone Labs, LLC) [Kernel | System] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2008/05/02 00:15:44 | 000,004,096 | ---- | M] () [Kernel | Unavailable] -- C:\Programme\Unlocker\UnlockerDriver5.sys -- (UnlockerDriver5)
DRV - [2008/02/26 21:10:44 | 000,051,176 | ---- | M] (Zone Labs, LLC) [Kernel | Boot] -- C:\WINDOWS\system32\ZoneLabs\srescan.sys -- (srescan)
DRV - [2007/07/19 09:10:28 | 000,127,768 | ---- | M] (Kaspersky Lab) [File_System | System] -- C:\WINDOWS\system32\drivers\klif.sys -- (KLIF)
DRV - [2007/04/16 15:46:00 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System] -- C:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM)
DRV - [2006/11/28 16:46:24 | 000,028,224 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\PDNMp50.sys -- (PDNMp50)
DRV - [2006/11/28 16:46:22 | 000,027,072 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\PDNSp50.sys -- (PDNSp50)
DRV - [2006/11/23 11:11:40 | 004,025,088 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2005/09/30 06:52:22 | 000,013,056 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2005/09/30 06:52:20 | 000,034,048 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2005/08/18 10:52:06 | 000,093,568 | ---- | M] (NVIDIA Corporation) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\nvata.sys -- (nvata)
DRV - [2004/08/13 20:56:20 | 000,005,810 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2003/12/17 04:50:00 | 000,070,801 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LMouFlt2.Sys -- (LMouFlt2)
DRV - [2003/12/17 04:50:00 | 000,051,729 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\L8042pr2.Sys -- (L8042pr2)
DRV - [2003/12/17 04:50:00 | 000,037,887 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LHIDUSB.SYS -- (LHidUsb)
DRV - [2003/12/17 04:50:00 | 000,025,505 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LHidFlt2.Sys -- (LHidFlt2)
DRV - [2003/12/17 04:50:00 | 000,014,095 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LCCFLTR.SYS -- (LCcfltr)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
IE - HKU\.DEFAULT\..\URLSearchHook: - Reg Error: Key error. File not found
IE - HKU\.DEFAULT\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
IE - HKU\Administrator_ON_C\..\URLSearchHook: - Reg Error: Key error. File not found
IE - HKU\Administrator_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s

========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.7
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {ff356687-aa08-463d-a46c-11c451824939}:5.5.0
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q="

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@Skype Limited.com/Facebook Video Calling Plugin: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook\Video\Skype\npFacebookVideoCalling.dll (Skype Limited)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/02/20 05:51:06 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/05/17 15:45:53 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 2.0.0.18\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2009/10/18 02:16:02 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 2.0.0.18\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009/10/26 21:02:01 | 000,000,000 | ---D | M]

[2009/10/17 14:44:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Extensions
[2012/03/06 05:01:38 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\06t2tuhf.default\extensions
[2010/04/27 07:31:51 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\06t2tuhf.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010/01/02 11:53:59 | 000,000,000 | ---D | M] (Mythical Sirens Summer Night) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\06t2tuhf.default\extensions\{77fe20a8-a8f8-11dc-8314-0800200c9a66}
[2012/03/10 13:21:38 | 000,001,056 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\06t2tuhf.default\searchplugins\icqplugin.xml
[2011/11/10 00:43:01 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) --
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\06T2TUHF.DEFAULT\EXTENSIONS\{9D1F059C-CADA-4111-9696-41A62D64E3BA}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\06T2TUHF.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2012/02/20 05:51:06 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011/02/02 15:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2010/03/08 06:24:04 | 000,103,168 | ---- | M] (Midasplayer Ltd) -- C:\Programme\mozilla firefox\plugins\npmidas.dll
[2011/10/04 06:01:12 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/10/04 06:01:12 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011/10/04 06:01:12 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011/10/04 06:01:12 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/10/04 06:01:12 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/10/04 06:01:12 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2008/04/23 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe (Acronis)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [EzPrint] C:\Programme\Lexmark 4300 Series\ezprint.exe (Lexmark International Inc.)
O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe (Macrovision Corporation)
O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (Macrovision Corporation)
O4 - HKLM..\Run: [K3aRyluP6SiCkoR] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [Logitech Utility] C:\WINDOWS\LOGI_MWX.EXE (Logitech Inc.)
O4 - HKLM..\Run: [LXCECATS] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.DLL ()
O4 - HKLM..\Run: [lxcemon.exe] C:\Programme\Lexmark 4300 Series\lxcemon.exe (Lexmark International, Inc.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] File not found
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Zone Labs, LLC)
O4 - HKU\.DEFAULT..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe (Alexander Avdonin)
O4 - HKU\Administrator_ON_C..\Run: [Facebook Update] C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKU\Administrator_ON_C..\Run: [K3aRyluP6SiCkoR] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O4 - HKU\Administrator_ON_C..\Run: [Spiele Post] C:\Programme\OXXOGames\GPlayer\GameCenterNotifier.exe (Intenium)
O4 - HKU\Administrator_ON_C..\Run: [Steam] File not found
O4 - HKU\Administrator_ON_C..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe (Alexander Avdonin)
O4 - HKU\NetworkService_ON_C..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe (Alexander Avdonin)
O4 - HKU\.DEFAULT..\RunOnce: [ShowDeskFix] File not found
O4 - HKU\NetworkService_ON_C..\RunOnce: [ShowDeskFix] File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableStatusMessages = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: VerboseStatus = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll (Sun Microsystems, Inc.)
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe (PokerStars)
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O20 - HKLM Winlogon: UIHost - (XPize_Logon.exe) - C:\WINDOWS\System32\XPize_Logon.exe (Microsoft Corporation)
O20 - HKU\Administrator_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O20 - HKU\Administrator_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper:
O24 - Desktop BackupWallPaper:
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/10/17 13:41:13 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{6a35e462-bbaf-11de-abb8-0018f37e5e60}\Shell\AutoRun\command - "" = PortableApps\PortableAppsMenu\PortableAppsMenu.exe
O33 - MountPoints2\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\Shell\Autoplay\command - "" = J:\imation.exe
O33 - MountPoints2\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL imation.exe
O33 - MountPoints2\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\Shell\explore\Command - "" = J:\imation.exe
O33 - MountPoints2\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\Shell\Open\Command - "" = J:\imation.exe
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2012/03/13 18:49:52 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2012/03/13 18:46:06 | 000,308,224 | ---- | C] (All Alex,Inc) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe
[2012/03/12 09:07:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Cyanide
[2012/03/10 15:46:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\BloodBowl
[2012/03/10 15:46:18 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM
[2012/03/05 17:04:51 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Steam
[2012/03/05 17:04:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Steam
[2012/03/05 17:04:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmen
[2012/02/28 16:09:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Temp
[2012/02/28 16:08:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook
[2012/02/22 15:12:54 | 000,000,000 | ---D | C] -- C:\WINDOWS\USB Vibration
[2012/02/22 15:12:39 | 000,000,000 | ---D | C] -- C:\Programme\USB Vibration
[2012/02/21 21:54:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\berthold
[2012/02/19 18:35:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Earth
[2012/02/19 18:34:07 | 000,000,000 | ---D | C] -- C:\Programme\Google
[2012/02/19 18:34:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google
[2012/02/19 07:22:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\Methadon_Project_FUMADORES
[2012/02/16 22:04:48 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll
[2012/02/16 22:04:10 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2012/02/16 15:57:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Amazon
[2012/02/16 15:47:32 | 000,000,000 | ---D | C] -- C:\Programme\Amazon
[2012/02/16 15:47:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Amazon
[2012/02/16 10:18:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\elsterformular
[2012/02/16 10:17:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ElsterFormular
[2012/02/16 10:17:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2012/02/16 10:17:25 | 000,000,000 | ---D | C] -- C:\Programme\ElsterFormular
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2012/03/14 09:59:30 | 000,001,100 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012/03/14 09:59:27 | 141,768,736 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.dat
[2012/03/14 09:59:25 | 000,358,382 | ---- | M] () -- C:\WINDOWS\System32\vsconfig.xml
[2012/03/14 09:58:59 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/03/14 07:37:41 | 001,670,756 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.idx
[2012/03/14 07:26:56 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/03/14 07:14:14 | 000,001,050 | ---- | M] () -- C:\WINDOWS\tasks\FacebookUpdateTaskUserS-1-5-21-823518204-583907252-1801674531-500UA.job
[2012/03/13 18:48:27 | 000,000,689 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\games.stat
[2012/03/13 18:46:05 | 000,308,224 | ---- | M] (All Alex,Inc) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe
[2012/03/13 18:39:00 | 000,001,104 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012/03/13 16:14:01 | 000,001,028 | ---- | M] () -- C:\WINDOWS\tasks\FacebookUpdateTaskUserS-1-5-21-823518204-583907252-1801674531-500Core.job
[2012/03/13 12:29:10 | 000,000,474 | -H-- | M] () -- C:\WINDOWS\tasks\Norton Security Scan for Administrator.job
[2012/03/12 19:53:18 | 000,103,553 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icarus-dxdiag.xml
[2012/03/12 19:35:38 | 000,253,748 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2012/03/12 16:48:51 | 000,000,460 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steam.lnk
[2012/03/12 09:07:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Cyanide
[2012/03/12 09:07:53 | 000,000,693 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Blood Bowl.lnk
[2012/03/12 08:24:24 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2012/03/05 17:04:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Steam
[2012/03/05 17:00:34 | 008,531,968 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\SteamInstall_German.msi
[2012/03/02 15:24:00 | 000,096,495 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Flash.pdf
[2012/02/28 15:11:45 | 000,124,147 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\vertragsaender_banken.pdf
[2012/02/27 18:52:50 | 000,015,726 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\2012-02-27.hrf
[2012/02/24 08:59:02 | 000,408,389 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\PcWatt101Setup.exe
[2012/02/21 11:30:31 | 000,936,603 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\SDC10703.pdf
[2012/02/19 18:35:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Earth
[2012/02/17 23:08:18 | 000,000,726 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\PokerStars.lnk
[2012/02/17 23:08:18 | 000,000,708 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\PokerStars.lnk
[2012/02/17 22:00:54 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012/02/16 22:22:44 | 000,000,795 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
[2012/02/16 15:47:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Amazon
[2012/02/16 11:26:42 | 000,094,281 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ESt2010_Mejza_Michael_und_Mejza_Ingrid.elfo
[2012/02/16 10:17:46 | 000,000,854 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk
[2012/02/16 10:17:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ElsterFormular
[2012/02/15 22:20:45 | 000,161,936 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012/02/15 22:04:01 | 000,458,830 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/02/15 22:04:01 | 000,441,112 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/02/15 22:04:01 | 000,084,928 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/02/15 22:04:01 | 000,071,430 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/02/14 13:18:00 | 000,028,672 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2012/03/12 19:53:18 | 000,103,553 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icarus-dxdiag.xml
[2012/03/12 09:07:52 | 000,000,693 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Blood Bowl.lnk
[2012/03/05 17:04:52 | 000,000,460 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steam.lnk
[2012/03/05 17:00:27 | 008,531,968 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\SteamInstall_German.msi
[2012/03/02 15:23:54 | 000,096,495 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Flash.pdf
[2012/02/28 16:09:03 | 000,001,050 | ---- | C] () -- C:\WINDOWS\tasks\FacebookUpdateTaskUserS-1-5-21-823518204-583907252-1801674531-500UA.job
[2012/02/28 16:09:03 | 000,001,028 | ---- | C] () -- C:\WINDOWS\tasks\FacebookUpdateTaskUserS-1-5-21-823518204-583907252-1801674531-500Core.job
[2012/02/28 15:11:45 | 000,124,147 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\vertragsaender_banken.pdf
[2012/02/27 18:52:50 | 000,015,726 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\2012-02-27.hrf
[2012/02/24 08:59:01 | 000,408,389 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\PcWatt101Setup.exe
[2012/02/21 11:30:26 | 000,936,603 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\SDC10703.pdf
[2012/02/19 18:34:10 | 000,001,104 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012/02/19 18:34:10 | 000,001,100 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012/02/17 23:08:18 | 000,000,726 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\PokerStars.lnk
[2012/02/17 23:08:18 | 000,000,708 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\PokerStars.lnk
[2012/02/16 22:22:44 | 000,000,795 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
[2012/02/16 10:51:03 | 000,094,281 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ESt2010_Mejza_Michael_und_Mejza_Ingrid.elfo
[2012/02/16 10:17:46 | 000,000,854 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk
[2012/02/15 06:27:34 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012/02/15 06:27:34 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\dllcache\iacenc.dll
[2012/02/11 09:34:32 | 000,005,504 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\.recently-used.xbel
[2011/09/18 15:04:46 | 000,000,689 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\games.stat
[2011/07/24 15:13:15 | 000,000,025 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AuGaLaPflanzenliste2010.sav
[2011/04/06 10:16:49 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\PLSINFO.EXE
[2011/04/06 10:16:48 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\CPUINF32.DLL
[2011/04/06 10:15:46 | 000,284,160 | ---- | C] () -- C:\WINDOWS\unin0407.exe
[2011/03/04 09:34:58 | 000,132,096 | ---- | C] () -- C:\WINDOWS\System32\ZIPDLL.dll
[2011/03/04 09:34:58 | 000,126,976 | ---- | C] () -- C:\WINDOWS\System32\UnzDll.dll
[2010/10/19 09:08:37 | 013,811,712 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sandra.mda
[2010/10/19 07:50:16 | 000,240,124 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2010/10/19 07:50:15 | 000,240,124 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2010/10/19 07:50:15 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2010/09/26 10:21:31 | 000,032,608 | ---- | C] () -- C:\WINDOWS\king-uninstall.exe
[2010/03/13 13:27:29 | 000,000,229 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\default.rss
[2010/03/13 08:46:29 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009/12/30 12:05:55 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2009/12/28 07:10:28 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009/12/13 07:19:54 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/12/13 07:19:46 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2009/10/31 16:23:38 | 000,000,297 | ---- | C] () -- C:\WINDOWS\thug2.ini
[2009/10/21 10:01:11 | 000,000,033 | ---- | C] () -- C:\WINDOWS\quark.ini
[2009/10/19 13:16:15 | 000,002,828 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2009/10/19 07:21:57 | 000,028,672 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/10/18 08:40:15 | 141,768,736 | -HS- | C] () -- C:\WINDOWS\System32\drivers\fidbox.dat
[2009/10/18 08:38:19 | 000,021,904 | ---- | C] () -- C:\WINDOWS\System32\imsinstall_loc0407.dll
[2009/10/18 08:38:19 | 000,017,808 | ---- | C] () -- C:\WINDOWS\System32\imslsp_install_loc0407.dll
[2009/10/18 08:38:06 | 000,796,048 | ---- | C] () -- C:\WINDOWS\System32\libeay32_0.9.6l.dll
[2009/10/18 08:10:23 | 000,000,111 | ---- | C] () -- C:\WINDOWS\telephon.ini
[2009/10/18 07:45:10 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2009/10/17 15:32:52 | 000,005,810 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2009/10/17 15:32:50 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2009/10/17 14:44:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009/10/17 14:32:23 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009/10/17 14:31:06 | 000,161,936 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009/10/17 13:49:13 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009/10/17 13:48:01 | 000,119,296 | ---- | C] () -- C:\WINDOWS\System32\7z.exe
[2009/10/17 13:45:52 | 000,394,752 | ---- | C] () -- C:\WINDOWS\System32\cygwinb19.dll
[2009/10/17 13:45:52 | 000,162,304 | ---- | C] () -- C:\WINDOWS\System32\libpng13.dll
[2009/10/17 13:45:52 | 000,059,904 | ---- | C] () -- C:\WINDOWS\System32\zlib1.dll
[2009/10/17 13:38:45 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009/10/17 13:37:50 | 000,120,832 | ---- | C] () -- C:\WINDOWS\System32\Tweakui.exe
[2009/09/27 10:12:22 | 001,604,482 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2009/03/05 06:36:46 | 000,000,088 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\.java.policy
[2009/01/22 07:56:00 | 000,000,181 | ---- | C] () -- C:\WINDOWS\System32\AiO-Auswahl.ini
[2009/01/22 07:54:14 | 001,800,192 | ---- | C] () -- C:\WINDOWS\System32\hmtcdres.dll
[2009/01/22 07:54:13 | 000,394,240 | ---- | C] () -- C:\WINDOWS\System32\hmtcd.dll
[2009/01/22 07:54:12 | 000,006,144 | ---- | C] () -- C:\WINDOWS\System32\fontreg.exe
[2008/04/23 13:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008/04/23 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008/04/23 13:00:00 | 000,458,830 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008/04/23 13:00:00 | 000,441,112 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008/04/23 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008/04/23 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008/04/23 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008/04/23 13:00:00 | 000,084,928 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008/04/23 13:00:00 | 000,071,430 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008/04/23 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008/04/23 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008/04/23 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008/04/23 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008/04/23 13:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008/04/23 13:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/04/23 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2005/07/31 20:09:36 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\lxceinsr.dll
[2005/07/31 20:09:32 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\lxcecur.dll
[2005/07/31 20:09:20 | 000,139,264 | ---- | C] () -- C:\WINDOWS\System32\lxcejswr.dll
[2005/07/14 04:15:30 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxcevs.dll

========== LOP Check ==========

[2009/10/17 16:01:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Acronis
[2012/02/16 15:57:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Amazon
[2011/09/27 16:51:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Anabel
[2011/09/27 08:28:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dekovir
[2012/02/16 10:18:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\elsterformular
[2011/09/20 05:49:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\freshgames
[2012/02/11 09:34:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0
[2011/07/29 17:58:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
[2010/10/17 20:35:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Need for Speed World
[2010/09/18 05:39:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nvu
[2011/09/20 06:51:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Playrix Entertainment
[2011/09/18 12:51:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sahmon Games
[2011/10/09 15:43:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ScreenSeven
[2009/10/18 02:16:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird
[2010/12/11 12:34:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Turbine
[2011/10/28 01:59:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\URSE Games
[2010/10/14 17:15:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Wildlife Park 2
[2010/10/19 10:25:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Wildlife Park 2 - Crazy Zoo
[2011/05/21 20:47:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Wildlife Park 2 - Marine World
[2011/09/18 17:22:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\World-Loom
[2009/10/17 14:10:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2010/10/16 15:22:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Electronic Arts
[2012/02/16 10:17:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2011/09/20 05:49:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\freshgames
[2010/11/03 19:07:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2011/09/18 14:09:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IntDreams
[2011/09/28 14:52:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Intenium
[2009/10/18 08:38:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
[2011/09/28 14:52:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScreenSeven
[2009/10/18 02:17:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2012/03/13 16:14:01 | 000,001,028 | ---- | M] () -- C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-823518204-583907252-1801674531-500Core.job
[2012/03/14 07:14:14 | 000,001,050 | ---- | M] () -- C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-823518204-583907252-1801674531-500UA.job

========== Purity Check ==========

========== Alternate Data Streams ==========

@Alternate Data Stream - 221 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:1493A0EF
< End of report >

cosinus · 14.03.2012, 18:45

Probier erstmal MBAM und ESET aus

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

Micha2 · 14.03.2012, 20:20

Ok, erstmal Danke für die schnelle Antwort. Leider merke ich das ich mit meinen begrenzten Pc-Kentnissen schon an meine Grenzen stosse. Deswegen jetzt nochmal der Reihe nach.

Gestern Abend trat erstmals das oben beschriebene Problem wie aus dem nichts auf während ich online war => weisser Bildschirm mit der Nachricht in Deutsch und Englisch : Bitte warten sie während die Verbindung hergestellt wird.
Nach mehrmaligen Neustarts inklusive vom Strom trennen immer dasselbe. Benutzereinstellungen von XP werden geladen, kurz der leere Desktop zügig gefolgt vom weissen Bildschirm mit dem o.g. Text.

Heute versuchte ich dem Problem mit einem zweiten Rechner auf den Zahn zu fühlen wobei ich auf diese Seite stoss, wo dieses Problem schon desöfteren bei anderen Usern vorkam.
Daraufhin habe ich mir OLTPENet.exe runtergeladen, gebrannt und dann den infizierten Pc gescannt. ( ohne externer Festplatte) Protokoll ist oben gepostet. Eine Internetverbindung kann ich leider nicht herstellen.

Jetzt habe ich gerade Mbam mit dem "gesunden" Rechner gedownloadet installiert und auf USB stick kopiert.
Dann wieder den infizerten Rechner angeschlossen, ich muss immer wechseln da ich nur ein Stromkabel hab, und wieder mit der OLTPENet.exe-Sowtware gebootet und versucht den Mbam -scan durchzuführen. Dabei trat die Fehlermeldung "Fatal Error 13" beim start des Fullscans auf. Drei mal wiederholt, selbe Meldung.

Eset hab ich noch gar nicht probiert weil ich mit dem infizierten Pc ja gar nicht ins Internet komme.

Wenigstens weiss ich jetzt wie man diese Code-Tags macht^^ Hatte vorhin die ganze Zeit gesucht. Ich habe mir zwar schon sehr viel im Forum durchgelesen aber bin leider doch etwas überfordert

Hoffe mit den Infos kann man jetzt mehr anfangen.

Mfg Micha

cosinus · 14.03.2012, 21:41

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Micha2 · 14.03.2012, 22:08

Extra nochmal probiert....Nein!

Es folgt genauso der weisse Bildschirm mit Text.

cosinus · 14.03.2012, 22:18

Also ich versteh manche Sachen nicht wirklich

1. du hast ein Acronis drauf zum ganz einfachen Erstellen von Images und nutzt es offensichtlich nicht regelmäßig - wenn man schon so ein Programm hat, dann kann man auch regelmäßig Images machen und spielt die bei Bedarf - so wie jetzt zum Beispiel!! - einfach wieder zurück

2. du nutzt ZoneAlarm, das ist kontraproduktives Schlangenöl

3. das bei dir installierte Java hat vor Ewigkeiten kein Update mehr gesehen! Kein Wunder, dass du dadruch solche Probleme hast, gerade alte Java-Versionen sind ein dickes Risiko!

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

ATTFilter

:OTL
O4 - HKU\Administrator_ON_C..\Run: [Facebook Update] C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKU\Administrator_ON_C..\Run: [K3aRyluP6SiCkoR] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O4 - HKU\Administrator_ON_C..\Run: [Steam] File not found
O4 - HKU\.DEFAULT..\RunOnce: [ShowDeskFix] File not found
O4 - HKU\NetworkService_ON_C..\RunOnce: [ShowDeskFix] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableStatusMessages = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: VerboseStatus = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O20 - HKLM Winlogon: UIHost - (XPize_Logon.exe) - C:\WINDOWS\System32\XPize_Logon.exe (Microsoft Corporation)
O20 - HKU\Administrator_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O20 - HKU\Administrator_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/10/17 13:41:13 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{6a35e462-bbaf-11de-abb8-0018f37e5e60}\Shell\AutoRun\command - "" = PortableApps\PortableAppsMenu\PortableAppsMenu.exe
O33 - MountPoints2\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\Shell\Autoplay\command - "" = J:\imation.exe
O33 - MountPoints2\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL imation.exe
O33 - MountPoints2\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\Shell\explore\Command - "" = J:\imation.exe
O33 - MountPoints2\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\Shell\Open\Command - "" = J:\imation.exe
:Commands
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Micha2 · 15.03.2012, 16:05

Hallo!

Zu Deinen Festellungen die wohl leider richtig sind

Zu 1) Das is ja nicht mein Rechner der infiziert ist sondern der meiner Frau, die aber die Tage nicht da is. Ich weiss gar nicht was ein Image ist und was man damit macht. Werde mich aber mal damit auseinandersetzten.

Zu 2) ZoneAlarm hab ich mal installiert weil hat ja egtl immer gute Bewertungen bekommen. Wohl auch Müll.

Zu 3) Das Java alt ist, ist mir egtl ein Rätsel, da das gefühlt schon häufig aktualisiert wurde...wahrscheinlich war mal n neuet drauf und ich hab zurück gepatcht oder so in meinem Unwissen

Zum egtl Problem jetzt.... wie bekomme ich den Text kopiert? Auf USB-Stick gehts nicht und hab keine Idee wie ich es sonst auf den infizierten Rechner rüber bekomme.

Entschuldige die Umstände aber ich bin echt ne Nulpe am Pc, hab ja auch erst mit 26 das erste mal einen inner Hand gehabt.

Also was muss ich jetzt machen ??

Mfg Micha, dem dat langsam allet peinlich is

cosinus · 15.03.2012, 23:06

Zitat:

Auf USB-Stick gehts nicht und hab keine Idee wie ich es sonst auf den infizierten Rechner rüber bekomme.

Erst den USB-Stick anstecken, dann erst den Rechner einschalten und OTLPE booten. Ist ein (für mich zumindest alter bekannter) Bug in OTLPE und sowas wie BartPE (ein Live-WindowsXP von CD kann man sich auch selbst erstellen)

Micha2 · 17.03.2012, 19:35

Hallo,

hab das OTL-Fix gemacht, hier ist die log-Datei:

Code:

ATTFilter

========== OTL ==========
Registry key HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe moved successfully.
Registry key HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe moved successfully.
Registry key HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\ShowDeskFix deleted successfully.
Registry key HKEY_USERS\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\RunOnce not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktopCleanupWizard deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableStatusMessages deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\VerboseStatus deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoLowDiskSpaceChecks deleted successfully.
Registry key HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry key HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry key HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry key HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System not found.
Registry key HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System not found.
Registry key HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry key HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry key HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe deleted successfully.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe deleted successfully.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UIHost:XPize_Logon.exe deleted successfully.
C:\WINDOWS\system32\XPize_Logon.exe moved successfully.
Registry key HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon not found.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe not found.
Registry key HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon not found.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flint4ytw.exe not found.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6a35e462-bbaf-11de-abb8-0018f37e5e60}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6a35e462-bbaf-11de-abb8-0018f37e5e60}\ not found.
File PortableApps\PortableAppsMenu\PortableAppsMenu.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\ not found.
File J:\imation.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL imation.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\ not found.
File J:\imation.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c6909b47-0b70-11e0-bbb6-0018f37e5e60}\ not found.
File J:\imation.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.48.0 log created on 03172012_211650

Windows startet wieder. Allerdings ist der Desktop leer. Die Dateien lassen sich über Arbeitsplatz -> Desktop und so weiter finden, aber wie kommen sie auf den Desktop zurück? Ist das immer so oder ist was schief gelaufen?

Den "Moved Files"-Ordner habe ich gezippt und lade es sofort hoch. (Hat hoffentlich funktioniert...)

Vielen Dank für das Script!

MfG Micha

cosinus · 19.03.2012, 15:28

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

Anstatt Desktop Weisser Bildschirm: Bitte warten sie während die Verbindung hergestellt wird

Plagegeister aller Art und deren Bekämpfung: Anstatt Desktop Weisser Bildschirm: Bitte warten sie während die Verbindung hergestellt wird