Windows wird blockiert herunterladen und bezahlen 50 EUR

Ernst Haft · 18.03.2012, 13:27

Hallo allerseits,
wie schon im Titel zu lesen ist, habe ich seit gestern Abend ein kleines Problem. Plötzlich kam der schwarze Bildschirm mit der Aufforderung 50 EUR zu bezahlen. Nichts ging mehr. Dann habe ich festgestellt, dass nur das benutzte Admin-Konto betroffen ist. Die beiden anderen Konten funktionieren einwandfrei.
Der Scan mit OTL hat folgende Textdatei erzeugt:

Code:

ATTFilter

OTL logfile created on: 18.03.2012 12:37:03 - Run 2
OTL by OldTimer - Version 3.2.39.1     Folder = C:\Users\Max\Desktop
 Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 1,75 Gb Available Physical Memory | 58,37% Memory free
6,00 Gb Paging File | 4,74 Gb Available in Paging File | 79,09% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 37,57 Gb Total Space | 4,98 Gb Free Space | 13,24% Space Free | Partition Type: NTFS
Drive D: | 195,31 Gb Total Space | 64,22 Gb Free Space | 32,88% Space Free | Partition Type: NTFS
 
Computer Name: ERNESTO | User Name: Ernst | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 7 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Max\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Uniblue\RegistryBooster\rbmonitor.exe (Uniblue Systems Limited)
PRC - C:\Programme\ESET\ESET Online Scanner\OnlineScannerApp.exe (ESET)
PRC - C:\Programme\ESET\ESET Online Scanner\OnlineCmdLineScanner.exe ()
PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Users\Ernst\AppData\Local\Skype\SkypePM.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
PRC - C:\Programme\Canon\MyPrinter\BJMYPRT.EXE (CANON INC.)
PRC - C:\Windows\System32\atieclxx.exe (AMD)
PRC - C:\Windows\System32\atiesrxx.exe (AMD)
PRC - C:\Programme\Common Files\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
PRC - C:\Programme\OpenOffice.org 2.4\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 2.4\program\soffice.exe (OpenOffice.org)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Windows\System32\Macromed\Flash\NPSWF32.dll ()
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\Programme\ESET\ESET Online Scanner\OnlineCmdLineScanner.exe ()
MOD - C:\Programme\WinRAR\RarExt.dll ()
MOD - C:\Programme\OpenOffice.org 2.4\program\libxml2.dll ()
MOD - C:\Programme\Common Files\LightScribe\QtGui4.dll ()
MOD - C:\Programme\Common Files\LightScribe\plugins\imageformats\qjpeg4.dll ()
MOD - C:\Programme\Common Files\LightScribe\QtCore4.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (AdobeARMservice) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
SRV - (AMD External Events Utility) -- C:\Windows\System32\atiesrxx.exe (AMD)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Common Files\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (VGPU) -- System32\drivers\rdvgkmd.sys File not found
DRV - (tsusbhub) -- system32\drivers\tsusbhub.sys File not found
DRV - (Synth3dVsc) -- System32\drivers\synth3dvsc.sys File not found
DRV - (MBAMSwissArmy) -- C:\Windows\System32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (MBAMProtector) -- C:\Windows\System32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (vmbus) -- C:\Windows\System32\drivers\vmbus.sys (Microsoft Corporation)
DRV - (storflt) -- C:\Windows\System32\drivers\vmstorfl.sys (Microsoft Corporation)
DRV - (storvsc) -- C:\Windows\System32\drivers\storvsc.sys (Microsoft Corporation)
DRV - (TsUsbFlt) -- C:\Windows\System32\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV - (RdpVideoMiniport) -- C:\Windows\System32\drivers\rdpvideominiport.sys (Microsoft Corporation)
DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (VMBusHID) -- C:\Windows\System32\drivers\VMBusHID.sys (Microsoft Corporation)
DRV - (s3cap) -- C:\Windows\System32\drivers\vms3cap.sys (Microsoft Corporation)
DRV - (atikmdag) -- C:\Windows\System32\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV - (NVENETFD) -- C:\Windows\System32\drivers\nvm62x32.sys (NVIDIA Corporation)
DRV - (vmm) -- C:\Windows\System32\drivers\VMM.sys (Microsoft Corporation)
DRV - (VPCNetS2) -- C:\Windows\System32\drivers\VMNetSrv.sys (Microsoft Corporation)
DRV - (FWLANUSB) -- C:\Windows\System32\drivers\fwlanusb.sys (AVM GmbH)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1477106099-3839741377-2049746800-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ask.com/?o=41647997&l=dis&gct=hp
IE - HKU\S-1-5-21-1477106099-3839741377-2049746800-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-1477106099-3839741377-2049746800-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-1477106099-3839741377-2049746800-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = E0 77 A4 25 9B 01 CC 01  [binary data]
IE - HKU\S-1-5-21-1477106099-3839741377-2049746800-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-1477106099-3839741377-2049746800-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1477106099-3839741377-2049746800-1000\..\SearchScopes\{0BDC16C8-7A4E-4553-95B9-E2F7066D3678}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=MPC2&o=41647997&src=crm&q={searchTerms}&locale=&apn_ptnrs=8E&apn_dtid=YYYYYYM2DE&apn_uid=C14E208A-503C-4638-85E2-0D534A080B6B&apn_sauid=7E53F481-32AB-400A-8A72-3E3B57252A43
IE - HKU\S-1-5-21-1477106099-3839741377-2049746800-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-1477106099-3839741377-2049746800-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.2\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.02.22 16:36:20 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.2\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 10.0.2\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011.12.26 11:53:29 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 10.0.2\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\mail@gutscheinrausch.de: C:\Users\Ernst\AppData\Roaming\Mozilla\Firefox\Profiles\m37oq2ei.default\extensions\mail@gutscheinrausch.de [2011.12.15 20:35:35 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\firejump@firejump.net: C:\Users\Ernst\AppData\Roaming\Mozilla\Firefox\Profiles\m37oq2ei.default\extensions\firejump@firejump.net [2011.12.15 20:35:33 | 000,000,000 | ---D | M]
 
[2011.04.23 10:49:00 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Ernst\AppData\Roaming\mozilla\Extensions
[2011.04.23 10:49:00 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Ernst\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.12.15 20:35:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Ernst\AppData\Roaming\mozilla\Firefox\Profiles\m37oq2ei.default\extensions
[2011.12.15 20:35:33 | 000,000,000 | ---D | M] (FireJump) -- C:\Users\Ernst\AppData\Roaming\mozilla\Firefox\Profiles\m37oq2ei.default\extensions\firejump@firejump.net
[2011.12.15 20:35:35 | 000,000,000 | ---D | M] (Gutscheinrausch.de) -- C:\Users\Ernst\AppData\Roaming\mozilla\Firefox\Profiles\m37oq2ei.default\extensions\mail@gutscheinrausch.de
[2011.04.23 18:41:44 | 000,000,000 | ---D | M] (Personas) -- C:\Users\Ernst\AppData\Roaming\mozilla\Firefox\Profiles\m37oq2ei.default\extensions\personas@christopher.beard
[2012.02.03 20:55:00 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.02.22 16:36:20 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.02.03 20:54:54 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.02.03 20:54:54 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.02.03 20:54:54 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.03 20:54:54 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.02.03 20:54:54 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.03 20:54:54 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O3 - HKU\S-1-5-21-1477106099-3839741377-2049746800-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe (CANON INC.)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKU\S-1-5-21-1477106099-3839741377-2049746800-1000..\Run: [SkypePM] C:\Users\Ernst\AppData\Local\Skype\SkypePM.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - Startup: C:\Users\Adid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe ()
O4 - Startup: C:\Users\Ernst\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKU\S-1-5-21-1477106099-3839741377-2049746800-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O7 - HKU\S-1-5-21-1477106099-3839741377-2049746800-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: LogonHoursAction = 2
O7 - HKU\S-1-5-21-1477106099-3839741377-2049746800-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DontDisplayLogonHoursWarnings = 1
O7 - HKU\S-1-5-21-1477106099-3839741377-2049746800-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1477106099-3839741377-2049746800-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: LogonHoursAction = 2
O7 - HKU\S-1-5-21-1477106099-3839741377-2049746800-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DontDisplayLogonHoursWarnings = 1
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8CDDF9AA-B6EF-4F71-91AF-3AE3F6F42583}: DhcpNameServer = 192.168.178.1
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2007.06.21 14:10:59 | 000,000,074 | ---- | M] () - D:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{d79635bf-6edb-11e0-9079-001a4f4af6e5}\Shell - "" = AutoRun
O33 - MountPoints2\{d79635bf-6edb-11e0-9079-001a4f4af6e5}\Shell\AutoRun\command - "" = K:\pushinst.exe
O33 - MountPoints2\J\Shell - "" = AutoRun
O33 - MountPoints2\J\Shell\AutoRun\command - "" = J:\pushinst.exe
O33 - MountPoints2\K\Shell - "" = AutoRun
O33 - MountPoints2\K\Shell\AutoRun\command - "" = K:\pushinst.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 7 Days ==========
 
[2012.03.18 11:19:15 | 000,000,000 | ---D | C] -- C:\Program Files\ESET
[2012.03.18 09:20:29 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2012.03.18 09:20:28 | 000,000,000 | ---D | C] -- C:\Users\Ernst\AppData\Roaming\Malwarebytes
[2012.03.18 09:20:25 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.03.18 09:20:24 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.03.18 09:20:24 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.03.18 09:20:24 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.03.15 21:53:32 | 000,000,000 | ---D | C] -- C:\Users\Ernst\Documents\Auftritt der Sparkasse Lörrach-Rheinfelden-Dateien
[2012.03.14 22:46:08 | 003,968,368 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2012.03.14 22:46:07 | 003,913,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2012.03.14 19:54:58 | 000,000,000 | -H-D | C] -- C:\ProgramData\CanonIJScan
[2012.03.14 19:54:57 | 000,000,000 | ---D | C] -- C:\Users\Ernst\AppData\Roaming\Canon
[2012.03.14 19:47:51 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Canon Utilities
[2012.03.14 19:47:51 | 000,000,000 | ---D | C] -- C:\Program Files\Canon
[2012.03.14 15:12:35 | 002,343,424 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2012.03.14 15:12:34 | 001,077,248 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\DWrite.dll
[2012.03.14 15:12:04 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\rdrmemptylst.exe
[2012.03.14 15:12:03 | 000,129,536 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\rdpcorekmts.dll
[2012.03.14 15:12:03 | 000,058,880 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\rdpwsx.dll
[2012.03.14 15:12:02 | 000,919,040 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\rdpcorets.dll
[2012.03.14 15:12:02 | 000,826,880 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\rdpcore.dll
 
========== Files - Modified Within 7 Days ==========
 
[2012.03.18 12:28:57 | 000,000,000 | ---- | M] () -- C:\Users\Ernst\defogger_reenable
[2012.03.18 09:21:13 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2012.03.18 09:20:25 | 000,001,079 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.03.18 07:52:32 | 000,014,016 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.03.18 07:52:32 | 000,014,016 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.03.18 07:52:14 | 000,655,604 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.03.18 07:52:14 | 000,616,484 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.03.18 07:52:14 | 000,130,516 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.03.18 07:52:14 | 000,106,864 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.03.18 07:50:03 | 000,000,332 | ---- | M] () -- C:\Windows\tasks\RegistryBooster.job
[2012.03.18 07:47:24 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.03.18 07:47:21 | 2414,780,416 | -HS- | M] () -- C:\hiberfil.sys
[2012.03.15 21:53:34 | 000,022,627 | ---- | M] () -- C:\Users\Ernst\Documents\Auftritt der Sparkasse Lörrach-Rheinfelden.htm
[2012.03.15 07:07:39 | 000,284,680 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.03.14 19:51:24 | 000,002,053 | ---- | M] () -- C:\Users\Public\Desktop\Canon MP Navigator EX 3.0.lnk
[2012.03.14 19:47:56 | 000,001,969 | ---- | M] () -- C:\Users\Public\Desktop\Canon My Printer.lnk
[2012.03.14 07:10:39 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
 
========== Files Created - No Company Name ==========
 
[2012.03.18 12:28:57 | 000,000,000 | ---- | C] () -- C:\Users\Ernst\defogger_reenable
[2012.03.18 09:20:25 | 000,001,079 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.03.15 21:53:32 | 000,022,627 | ---- | C] () -- C:\Users\Ernst\Documents\Auftritt der Sparkasse Lörrach-Rheinfelden.htm
[2012.03.14 19:51:24 | 000,002,053 | ---- | C] () -- C:\Users\Public\Desktop\Canon MP Navigator EX 3.0.lnk
[2012.03.14 19:47:56 | 000,001,969 | ---- | C] () -- C:\Users\Public\Desktop\Canon My Printer.lnk
[2011.12.15 20:35:33 | 000,338,432 | ---- | C] () -- C:\Windows\System32\sqlite36_engine.dll
[2011.06.09 06:43:01 | 000,004,767 | ---- | C] () -- C:\Windows\Irremote.ini
[2011.05.24 06:25:41 | 000,080,896 | ---- | C] () -- C:\Windows\System32\RDVGHelper.exe
[2011.05.24 06:24:15 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2011.04.23 10:28:44 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
 
========== LOP Check ==========
 
[2011.04.23 15:49:10 | 000,000,000 | ---D | M] -- C:\Users\Adid\AppData\Roaming\Thunderbird
[2012.03.14 19:54:58 | 000,000,000 | ---D | M] -- C:\Users\Ernst\AppData\Roaming\Canon
[2011.12.15 20:35:30 | 000,000,000 | ---D | M] -- C:\Users\Ernst\AppData\Roaming\DesktopIconForAmazon
[2011.12.15 22:26:49 | 000,000,000 | ---D | M] -- C:\Users\Ernst\AppData\Roaming\Exif Viewer
[2012.02.09 20:05:03 | 000,000,000 | ---D | M] -- C:\Users\Ernst\AppData\Roaming\Opera
[2011.04.23 10:49:00 | 000,000,000 | ---D | M] -- C:\Users\Ernst\AppData\Roaming\Thunderbird
[2012.02.15 20:51:12 | 000,000,000 | ---D | M] -- C:\Users\Ernst\AppData\Roaming\Uniblue
[2012.03.18 07:50:03 | 000,000,332 | ---- | M] () -- C:\Windows\Tasks\RegistryBooster.job
[2012.01.03 16:18:02 | 000,032,630 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 

< End of report >

Code:

ATTFilter

OTL Extras logfile created on: 18.03.2012 12:08:47 - Run 1
OTL by OldTimer - Version 3.2.39.1     Folder = C:\Users\Max\Desktop
 Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 1,60 Gb Available Physical Memory | 53,27% Memory free
6,00 Gb Paging File | 4,70 Gb Available in Paging File | 78,34% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 37,57 Gb Total Space | 4,61 Gb Free Space | 12,27% Space Free | Partition Type: NTFS
Drive D: | 195,31 Gb Total Space | 64,22 Gb Free Space | 32,88% Space Free | Partition Type: NTFS
 
Computer Name: ERNESTO | User Name: Ernst | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = Opera.HTML] -- C:\Program Files\Opera\Opera.exe (Opera Software)
 
[HKEY_USERS\S-1-5-21-1477106099-3839741377-2049746800-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[HKEY_USERS\S-1-5-21-1477106099-3839741377-2049746800-1004\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
http [open] -- "C:\Program Files\Opera\Opera.exe" "%1" (Opera Software)
https [open] -- "C:\Program Files\Opera\Opera.exe" "%1" (Opera Software)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [CEWE FOTOSCHAU] -- "C:\Program Files\dm\dm-Fotowelt\CEWE FOTOSCHAU.exe" -d "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [dm-Fotowelt] -- "C:\Program Files\dm\dm-Fotowelt\dm-Fotowelt.exe" "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0711500B-9912-4D60-9A49-C577B4503D42}" = Nero Recode Help
"{07FF7593-9DEA-40B5-9F87-F557E65BBF60}" = Nero Recode
"{0E7DBD52-B097-4F2B-A7C7-F105B0D20FDB}" = LightScribe System Software  1.14.17.1
"{1122AAC4-AAAA-43BF-B2D4-3C8C12378952}" = Nero InfoTool
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP560_series" = Canon MP560 series MP Drivers
"{11A84FCA-C3C7-4AFD-A797-111DB8569DBC}" = Nero BurningROM
"{12345674-DE9A-677A-CCEE-666356D89777}" = Nero BurnRights
"{1B040683-C390-4711-ABC7-DA8D85E470E7}" = NeroBurningROM
"{1B14B0C3-2D60-477C-A1FE-B88E60948854}" = OpenOffice.org 2.4
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java(TM) 6 Update 29
"{2B11BA9C-7F97-4C16-970F-1491FD77969B}_is1" = GutscheinRausch.de - AddOn für Firefox
"{2D3455A8-3B15-41A8-99F8-0D4215746463}" = Nero StartSmart
"{3097B151-1F61-4211-A4CC-D70127B226AE}" = SoundTrax
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3F30CC51-0788-487B-AA83-7214A239C0C0}" = Nero Disc Copy Gadget Help
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4D42353B-533F-4306-AD0B-7FEF292ADE04}" = Nero CoverDesigner Help
"{4E8C27C2-D727-4C00-A90E-C3F6376EEE70}" = Nero ControlCenter
"{548F99E0-14CC-4D53-A7D6-4A62A5F2C748}" = Nero PhotoSnap
"{56BE5CC9-95E6-4128-ABEA-968414CA9C80}" = DolbyFiles
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5A62A775-A29A-4CE1-BBC2-4A9CD0B211EF}" = Nero Live Help
"{5AE12194-3EAA-40DF-B2BF-FE1D6B78BBF4}" = Nero Vision
"{5C2E8A0F-80E2-4C68-8CC0-D8D16E7196BF}" = Nero RescueAgent Help
"{5C42EAB8-54F9-423A-948C-1CBEF25F8DB4}" = Nero PhotoSnap Help
"{5C9BB0B3-E830-4814-BBA4-D93535E1C7B9}" = Nero Live
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{75321954-2589-11DC-DDCC-E98356D81493}" = Nero DriveSpeed
"{753973C4-B961-43BF-B2D4-3C8C92F7216E}" = Nero DriveSpeed
"{78523651-D8B1-11DC-CCEE-741589645873}" = Nero DiscSpeed
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{7BE15435-2D3E-4B58-867F-9C75BED0208C}" = QuickTime
"{8C654BD0-1949-43DE-84F2-EC2A1ABB0CB4}" = Nero ShowTime
"{93dc3a27-2af8-4f64-95ff-a6498150e3d9}" = Nero 9
"{943CC0C0-2253-4FE0-9493-DD386F7857FD}" = Nero Express
"{948FFAAE-C57F-447B-9B07-3721E950BFDC}" = Nero ShowTime
"{961D53EA-40DC-4156-AD74-25684CE05F81}" = Nero Installer
"{9A875B56-A35C-46BA-A3AA-DF8D03EE9F2F}" = Nero ControlCenter
"{9F3523F8-DAD7-AE52-6DA7-45CDDDF33726}" = Advertising Center
"{A73BEC3C-40A0-480E-87EF-EFCD33629088}" = NeroExpress
"{A83279FD-CA4B-4206-9535-90974DE76654}" = Apple Application Support
"{A8399F58-234A-48C6-BA55-30C15738BF3C}" = Nero CoverDesigner
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{AAA12554-2589-11DC-92EF-E98356D81493}" = Nero InfoTool
"{AABBCC54-D8B1-11DC-92EF-E98356D81493}" = Nero DiscSpeed
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.2) - Deutsch
"{AD483998-2E9A-4405-83FF-6E503AF49CBB}" = Microsoft Virtual PC 2007 SP1
"{B2C12C8D-65DC-40BD-B309-5ADB0C6C8D8F}" = Nero WaveEditor
"{B96C2601-52F5-4D5D-816A-63469EA311EF}" = "Nero SoundTrax Help
"{BCD82AB5-670D-4242-90FA-1F97103C16CD}" = Movie Templates - Starter Kit
"{C99C89A3-119A-45E6-B26E-DD5643CAA0C5}" = Menu Templates - Starter Kit
"{CD1826A5-CFCC-4C6E-9F9D-E181876162EA}" = Nero Rescue Agent
"{D7C206B6-1A63-4389-A8B1-8F607D0BFF1F}" = Nero StartSmart Help
"{D85FFE92-BF14-4E9B-BCCD-E5C16069E65F}_is1" = FireJump 1.0.1.8
"{E4A8DD87-A746-4443-BF25-CAF99CED6767}" = Nero Disc Copy Gadget
"{E86156E5-9859-440D-8876-26CED1349802}" = Nero WaveEditor Help
"{EA9FFE54-D8B1-11DC-92EF-E98356D81493}" = Nero BurnRights
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F53F6769-AC46-49E3-ABE3-2C8AFD39D0DD}" = Nero Vision
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"AVMWLANCLI" = AVM FRITZ!WLAN
"CanonMyPrinter" = Canon My Printer
"DesktopIconAmazon" = Desktop Icon für Amazon
"Die Wikinger 3: Auf Schatzsuche" = Die Wikinger 3: Auf Schatzsuche
"dm-Fotowelt" = dm-Fotowelt
"DSGPlayer" = DEUTSCHLAND SPIELT GAME CENTER
"ESET Online Scanner" = ESET Online Scanner v3
"Exif-Viewer" = Exif-Viewer 2.50 
"FarmingSimulator2011DE_is1" = Landwirtschafts Simulator 2011
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.1.1000
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 10.0.2 (x86 de)" = Mozilla Firefox 10.0.2 (x86 de)
"Mozilla Thunderbird 10.0.2 (x86 de)" = Mozilla Thunderbird 10.0.2 (x86 de)
"MP Navigator EX 3.0" = Canon MP Navigator EX 3.0
"Opera 11.61.1250" = Opera 11.61
"Uniblue RegistryBooster" = Uniblue RegistryBooster
"VLC media player" = VLC media player 1.1.9
"WinRAR archiver" = WinRAR 4.00 (32-Bit)
"XviD" = XviD MPEG-4 Codec
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 04.03.2012 13:45:19 | Computer Name = Ernesto | Source = Customer Experience Improvement Program | ID = 1008
Description = 
 
Error - 07.03.2012 02:21:06 | Computer Name = Ernesto | Source = Customer Experience Improvement Program | ID = 1008
Description = 
 
Error - 07.03.2012 13:46:03 | Computer Name = Ernesto | Source = Customer Experience Improvement Program | ID = 1008
Description = 
 
Error - 08.03.2012 12:02:28 | Computer Name = Ernesto | Source = Customer Experience Improvement Program | ID = 1008
Description = 
 
Error - 12.03.2012 12:45:17 | Computer Name = Ernesto | Source = Customer Experience Improvement Program | ID = 1008
Description = 
 
Error - 13.03.2012 02:49:54 | Computer Name = Ernesto | Source = Customer Experience Improvement Program | ID = 1008
Description = 
 
Error - 14.03.2012 02:23:15 | Computer Name = Ernesto | Source = Customer Experience Improvement Program | ID = 1008
Description = 
 
Error - 14.03.2012 16:46:24 | Computer Name = Ernesto | Source = Customer Experience Improvement Program | ID = 1008
Description = 
 
Error - 15.03.2012 12:06:01 | Computer Name = Ernesto | Source = Customer Experience Improvement Program | ID = 1008
Description = 
 
Error - 16.03.2012 06:40:41 | Computer Name = Ernesto | Source = Customer Experience Improvement Program | ID = 1008
Description = 
 
[ Media Center Events ]
Error - 20.02.2012 00:03:12 | Computer Name = Ernesto | Source = MCUpdate | ID = 0
Description = 05:03:12 - Fehler beim Herstellen der Internetverbindung.  05:03:12 
-     Serververbindung konnte nicht hergestellt werden..  
 
Error - 20.02.2012 01:03:18 | Computer Name = Ernesto | Source = MCUpdate | ID = 0
Description = 06:03:18 - Fehler beim Herstellen der Internetverbindung.  06:03:18 
-     Serververbindung konnte nicht hergestellt werden..  
 
Error - 24.02.2012 22:57:19 | Computer Name = Ernesto | Source = MCUpdate | ID = 0
Description = 03:57:19 - Fehler beim Herstellen der Internetverbindung.  03:57:19 
-     Serververbindung konnte nicht hergestellt werden..  
 
Error - 24.02.2012 23:58:58 | Computer Name = Ernesto | Source = MCUpdate | ID = 0
Description = 04:58:58 - Fehler beim Herstellen der Internetverbindung.  04:58:58 
-     Serververbindung konnte nicht hergestellt werden..  
 
Error - 25.02.2012 00:59:04 | Computer Name = Ernesto | Source = MCUpdate | ID = 0
Description = 05:59:04 - Fehler beim Herstellen der Internetverbindung.  05:59:04 
-     Serververbindung konnte nicht hergestellt werden..  
 
Error - 25.02.2012 01:59:10 | Computer Name = Ernesto | Source = MCUpdate | ID = 0
Description = 06:59:10 - Fehler beim Herstellen der Internetverbindung.  06:59:10 
-     Serververbindung konnte nicht hergestellt werden..  
 
Error - 10.03.2012 22:26:45 | Computer Name = Ernesto | Source = MCUpdate | ID = 0
Description = 03:26:45 - Fehler beim Herstellen der Internetverbindung.  03:26:45 
-     Serververbindung konnte nicht hergestellt werden..  
 
Error - 10.03.2012 23:26:51 | Computer Name = Ernesto | Source = MCUpdate | ID = 0
Description = 04:26:51 - Fehler beim Herstellen der Internetverbindung.  04:26:51 
-     Serververbindung konnte nicht hergestellt werden..  
 
Error - 11.03.2012 00:26:57 | Computer Name = Ernesto | Source = MCUpdate | ID = 0
Description = 05:26:57 - Fehler beim Herstellen der Internetverbindung.  05:26:57 
-     Serververbindung konnte nicht hergestellt werden..  
 
Error - 11.03.2012 01:27:03 | Computer Name = Ernesto | Source = MCUpdate | ID = 0
Description = 06:27:03 - Fehler beim Herstellen der Internetverbindung.  06:27:03 
-     Serververbindung konnte nicht hergestellt werden..  
 
[ System Events ]
Error - 17.03.2012 15:58:31 | Computer Name = Ernesto | Source = atikmdag | ID = 43029
Description = Display is not active
 
Error - 17.03.2012 15:58:40 | Computer Name = Ernesto | Source = atikmdag | ID = 43029
Description = Display is not active
 
Error - 17.03.2012 16:00:35 | Computer Name = Ernesto | Source = atikmdag | ID = 43029
Description = Display is not active
 
Error - 17.03.2012 16:00:40 | Computer Name = Ernesto | Source = atikmdag | ID = 43029
Description = Display is not active
 
Error - 17.03.2012 16:05:24 | Computer Name = Ernesto | Source = atikmdag | ID = 43029
Description = Display is not active
 
Error - 17.03.2012 16:28:08 | Computer Name = Ernesto | Source = atikmdag | ID = 43029
Description = Display is not active
 
Error - 18.03.2012 02:47:28 | Computer Name = Ernesto | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?17.?03.?2012 um 22:56:41 unerwartet heruntergefahren.
 
Error - 18.03.2012 02:47:24 | Computer Name = Ernesto | Source = atikmdag | ID = 52236
Description = CPLIB :: General - Invalid Parameter
 
Error - 18.03.2012 02:47:24 | Computer Name = Ernesto | Source = atikmdag | ID = 43029
Description = Display is not active
 
Error - 18.03.2012 02:49:49 | Computer Name = Ernesto | Source = atikmdag | ID = 43029
Description = Display is not active
 
 
< End of report >

Ich wäre sehr dankbar, wenn auch mir hier geholfen werden könnte.

Schönen Gruß,
Andreas

markusg · 18.03.2012, 16:34

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

ATTFilter

:OTL
O4 - HKU\S-1-5-21-1477106099-3839741377-2049746800-1000..\Run: [SkypePM] C:\Users\Ernst\AppData\Local\Skype\SkypePM.exe (Microsoft Corporation)
 :Files
C:\Users\Ernst\AppData\Local\Skype
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die

+ E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Ernst Haft · 18.03.2012, 16:56

Vielen Dank für die schnelle Antwort.
Hier der Inhalt der Textdatei:

Code:

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-1477106099-3839741377-2049746800-1000\Software\Microsoft\Windows\CurrentVersion\Run\\SkypePM deleted successfully.
C:\Users\Ernst\AppData\Local\Skype\SkypePM.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: Adid
->Flash cache emptied: 6777 bytes
 
User: All Users
 
User: Default
 
User: Default User
 
User: Ernst
->Flash cache emptied: 7506 bytes
 
User: Max
->Flash cache emptied: 2057 bytes
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: Adid
->Temp folder emptied: 2598316 bytes
->Temporary Internet Files folder emptied: 2786059 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 493568583 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Ernst
->Temp folder emptied: 219784653 bytes
->Temporary Internet Files folder emptied: 11543091 bytes
->Java cache emptied: 27778 bytes
->FireFox cache emptied: 89482909 bytes
->Opera cache emptied: 8175523 bytes
->Flash cache emptied: 0 bytes
 
User: Max
->Temp folder emptied: 1445163 bytes
->Temporary Internet Files folder emptied: 1247787 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 80558118 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 76980592 bytes
RecycleBin emptied: 15353005 bytes
 
Total Files Cleaned = 957,00 mb
 
 
OTL by OldTimer - Version 3.2.39.1 log created on 03182012_165646

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Der Upload hat funktioniert und ich habe wieder Zugriff auf das verseuchte Benutzerkonto. War das jetzt der ganze Zauber zur Beseitigung, oder muß ich noch weitereSchritte erledigen?

Schönen Gruß,
Andreas

markusg · 18.03.2012, 19:14

hi,

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Ernst Haft · 18.03.2012, 20:07

Code:

ATTFilter

ComboFix 12-03-17.01 - Ernst 18.03.2012  19:50:30.1.2 - x86
Microsoft Windows 7 Ultimate   6.1.7601.1.1252.49.1031.18.3071.2272 [GMT 1:00]
ausgeführt von:: c:\users\Max\Desktop\ComboFix.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\security\Database\tmp.edb
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-02-18 bis 2012-03-18  ))))))))))))))))))))))))))))))
.
.
2012-03-18 18:56 . 2012-03-18 18:56	--------	d-----w-	c:\users\Ernst\AppData\Local\temp
2012-03-18 15:52 . 2012-03-18 16:07	--------	d-----w-	C:\_OTL
2012-03-18 10:19 . 2012-03-18 10:19	--------	d-----w-	c:\program files\ESET
2012-03-18 08:20 . 2012-03-18 08:20	--------	d-----w-	c:\users\Ernst\AppData\Roaming\Malwarebytes
2012-03-18 08:20 . 2012-03-18 08:20	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-03-18 08:20 . 2012-03-18 08:20	--------	d-----w-	c:\programdata\Malwarebytes
2012-03-18 08:20 . 2011-12-10 14:24	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-03-17 17:34 . 2012-03-18 18:55	56200	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{0AECA0DB-011B-4305-B3B9-E331394432B3}\offreg.dll
2012-03-17 09:02 . 2012-02-08 06:03	6552120	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{0AECA0DB-011B-4305-B3B9-E331394432B3}\mpengine.dll
2012-03-14 21:46 . 2011-11-19 14:50	3968368	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-03-14 21:46 . 2011-11-19 14:50	3913584	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-14 18:54 . 2012-03-14 18:54	--------	d--h--w-	c:\programdata\CanonIJScan
2012-03-14 18:54 . 2012-03-14 18:54	--------	d-----w-	c:\users\Ernst\AppData\Roaming\Canon
2012-03-14 18:47 . 2012-03-14 18:51	--------	d-----w-	c:\program files\Canon
2012-03-14 14:12 . 2012-02-03 03:54	2343424	----a-w-	c:\windows\system32\win32k.sys
2012-03-14 14:12 . 2012-02-10 05:38	1077248	----a-w-	c:\windows\system32\DWrite.dll
2012-03-14 14:12 . 2012-01-25 05:27	8192	----a-w-	c:\windows\system32\rdrmemptylst.exe
2012-03-14 14:12 . 2012-01-25 05:32	58880	----a-w-	c:\windows\system32\rdpwsx.dll
2012-03-14 14:12 . 2012-01-25 05:32	129536	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-03-14 14:12 . 2012-02-17 05:34	919040	----a-w-	c:\windows\system32\rdpcorets.dll
2012-03-14 14:12 . 2012-02-17 05:34	826880	----a-w-	c:\windows\system32\rdpcore.dll
2012-03-14 14:12 . 2012-02-17 04:14	183808	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-03-14 14:12 . 2012-02-17 04:13	24576	----a-w-	c:\windows\system32\drivers\tdtcp.sys
2012-03-02 06:30 . 2012-03-02 06:30	162664	----a-w-	c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10140.bin
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-14 06:10 . 2011-09-08 05:20	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-23 08:18 . 2011-04-23 09:55	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-01-31 11:25 . 2011-05-08 19:27	1236816	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2012-01-11 18:39 . 2012-01-11 18:39	164880	---ha-w-	c:\users\Ernst\AppData\Roaming\Microsoft\Virtual PC\VPCKeyboard.dll
2012-01-04 08:58 . 2012-02-15 20:58	442880	----a-w-	c:\windows\system32\ntshrui.dll
2011-12-30 05:27 . 2012-02-15 20:58	478720	----a-w-	c:\windows\system32\timedate.cpl
2012-02-22 15:36 . 2011-04-23 09:48	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\program files\avmwlanstick\wlangui.exe" [2010-10-22 2105344]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-07-26 2569616]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
c:\users\Adid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]
.
c:\users\Ernst\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2006-12-27 265088]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-20 15872]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 176128]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2012-01-13 652360]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-12-10 20464]
S3 netr28;Ralink 802.11n Extensible Wireless Driver;c:\windows\system32\DRIVERS\netr28.sys [2009-06-19 604672]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-06-09 08:14	451872	----a-w-	c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-18 c:\windows\Tasks\RegistryBooster.job
- c:\program files\Uniblue\RegistryBooster\rbmonitor.exe [2012-02-15 08:26]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ask.com/?o=41647997&l=dis&gct=hp
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Ernst\AppData\Roaming\Mozilla\Firefox\Profiles\m37oq2ei.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.yahoo.com/
FF - prefs.js: network.proxy.type - 0
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-03-18  19:58:43
ComboFix-quarantined-files.txt  2012-03-18 18:58
.
Vor Suchlauf: 5.893.693.440 Bytes frei
Nach Suchlauf: 5.793.345.536 Bytes frei
.
- - End Of File - - B125070F7CA9060C2B654ABD5C6507B2

markusg · 19.03.2012, 11:44

öffne malwarebytes, logdateien, poste alle berichte.

Ernst Haft · 19.03.2012, 16:53

Hallo,
in Malwarebytes ist nur diese eine Logdatei vorhanden. Diese wurde wohl nach dem Scan mit OTL aber vor dem einfügen der von Dir erhaltenen Daten in die Textbox von OTL erstellt. Ist das so in ordnung oder muß ich eine neue Logdatei mit Malwarebytes erstellen? Nach dem Vollscan mit Malwarebytes habe ich noch eine andere Textdatei erhalten, die ich ebenfalls mal gepostet habe.

Code:

ATTFilter

2012/03/18 09:21:33 +0100	ERNESTO	Max	MESSAGE	Starting protection
2012/03/18 09:21:36 +0100	ERNESTO	Max	MESSAGE	Protection started successfully
2012/03/18 09:21:39 +0100	ERNESTO	Max	MESSAGE	Starting IP protection
2012/03/18 09:21:44 +0100	ERNESTO	Max	MESSAGE	IP Protection started successfully
2012/03/18 11:20:33 +0100	ERNESTO	Max	IP-BLOCK	109.163.226.203 (Type: outgoing, Port: 50366, Process: firefox.exe)
2012/03/18 17:03:38 +0100	ERNESTO	Max	MESSAGE	Starting protection
2012/03/18 17:03:41 +0100	ERNESTO	Max	MESSAGE	Protection started successfully
2012/03/18 17:03:44 +0100	ERNESTO	Max	MESSAGE	Starting IP protection
2012/03/18 17:03:49 +0100	ERNESTO	Max	MESSAGE	IP Protection started successfully
2012/03/18 22:41:16 +0100	ERNESTO	Max	MESSAGE	Executing scheduled update:  Daily
2012/03/18 22:41:24 +0100	ERNESTO	Max	MESSAGE	Scheduled update executed successfully:  database updated from version v2012.03.18.01 to version v2012.03.18.03
2012/03/18 22:41:24 +0100	ERNESTO	Max	MESSAGE	Starting database refresh
2012/03/18 22:41:24 +0100	ERNESTO	Max	MESSAGE	Stopping IP protection
2012/03/18 22:45:44 +0100	ERNESTO	Max	MESSAGE	IP Protection stopped
2012/03/18 22:45:47 +0100	ERNESTO	Max	MESSAGE	Database refreshed successfully
2012/03/18 22:45:47 +0100	ERNESTO	Max	MESSAGE	Starting IP protection
2012/03/18 22:45:52 +0100	ERNESTO	Max	MESSAGE	IP Protection started successfully

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.18.01

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Ernst :: ERNESTO [Administrator]

Schutz: Aktiviert

18.03.2012 09:21:44
mbam-log-2012-03-18 (14-08-48).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 466930
Laufzeit: 1 Stunde(n), 46 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Users\Ernst\AppData\Local\Skype\SkypePM.exe (Spyware.Zbot) -> 2308 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SkypePM (Spyware.Zbot) -> Daten: C:\Users\Ernst\AppData\Local\Skype\SkypePM.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Users\Ernst\AppData\Local\Skype\SkypePM.exe (Spyware.Zbot) -> Keine Aktion durchgeführt.
C:\Users\Ernst\AppData\Local\Temp\0.31063503057171693h7i.exe (Spyware.Zbot) -> Keine Aktion durchgeführt.
C:\Users\Ernst\AppData\Local\Temp\0.4561991566004603h7i.exe (Spyware.Zbot) -> Keine Aktion durchgeführt.
C:\Users\Ernst\AppData\Local\Temp\0.9691637415407358h7i.exe (Spyware.Zbot) -> Keine Aktion durchgeführt.
C:\Users\Ernst\Documents\Cryptload1.1.8\router\FRITZ!Box\nc.exe (PUP.Netcat) -> Keine Aktion durchgeführt.

(Ende)

Gruß Andreas

markusg · 19.03.2012, 16:56

hast du alle funde von Malwarebytes bereinigen lassen?
falls nicht, bitte updaten, und erneut einen komplett scan machen, log posten.

Ernst Haft · 19.03.2012, 17:22

Hallo,
ich habe noch nichts bereinigen lassen, da ich nicht wußte ob das von Vorteil ist.
Der neue Scan läuft. Demnach soll ich Alles von Malwarebytes bereinigen lassen, sobald er beendet ist oder erst das Logfile posten?

Andreas

markusg · 19.03.2012, 17:32

kannst alles bereinigen und dann das log posten.

Ernst Haft · 19.03.2012, 18:38

Hallo,
anbei das neue Logfile.

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.18.03

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Ernst :: ERNESTO [Administrator]

Schutz: Deaktiviert

19.03.2012 16:54:12
mbam-log-2012-03-19 (16-54-12).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 446518
Laufzeit: 1 Stunde(n), 22 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Ernst\Documents\Cryptload1.1.8\router\FRITZ!Box\nc.exe (PUP.Netcat) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\03182012_165646\C_Users\Ernst\AppData\Local\Skype\SkypePM.exe (Spyware.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Gruß und vor Allem schon mal vielen Dank für den unermüdlichen Einsatz.

markusg · 19.03.2012, 18:46

hi, kein prob.

lade den CCleaner standard:
CCleaner Download - CCleaner 3.16.1666
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Ernst Haft · 19.03.2012, 19:07

Code:

ATTFilter

Adobe Flash Player 11 Plugin	Adobe Systems Incorporated	13.03.2012	6,00MB	11.1.102.63  notwendig
Adobe Reader X (10.1.2) - Deutsch	Adobe Systems Incorporated	19.01.2012	167,7MB	10.1.2  notwendig
Apple Application Support	Apple Inc.	25.12.2011	61,2MB	2.1.5  unnötig
Apple Software Update	Apple Inc.	25.12.2011	2,38MB	2.1.3.127  unnötig
AVM FRITZ!WLAN	AVM Berlin	22.09.2011  notwendig		
Canon MP Navigator EX 3.0		13.03.2012  notwendig		
Canon MP560 series MP Drivers		22.04.2011  notwendig		
Canon My Printer		13.03.2012  notwendig		
CCleaner	Piriform	18.03.2012		3.16  notwendig
Desktop Icon für Amazon		14.12.2011		1.0.1 (de)  unnötig
DEUTSCHLAND SPIELT GAME CENTER	INTENIUM GmbH	17.01.2012		1.2010.4.19  notwendig
Die Wikinger 3: Auf Schatzsuche	INTENIUM GmbH	17.01.2012		0.0.0.0  notwendig
dm-Fotowelt		10.12.2011  notwendig		
ESET Online Scanner v3		17.03.2012  notwendig		
Exif-Viewer 2.50	Ralf Bibinger	15.12.2011		2.50  notwendig
FireJump 1.0.1.8	FireJump.net	14.12.2011	1,80MB	1.0.1.8  unnötig
GutscheinRausch.de - AddOn für Firefox	GutscheinRausch.de	14.12.2011	1,52MB	2.81  unnötig
Java(TM) 6 Update 29	Oracle	05.12.2011	95,0MB	6.0.290  notwendig
Landwirtschafts Simulator 2011	GIANTS Software	07.09.2011	59,1MB	1.0  notwendig
LightScribe System Software  1.14.17.1	LightScribe	08.06.2011	21,0MB	1.14.17.1  notwendig
Malwarebytes Anti-Malware Version 1.60.1.1000	Malwarebytes Corporation	17.03.2012	17,3MB	1.60.1.1000  notwendig
Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	25.04.2011	38,8MB	4.0.30319  unbekannt
Microsoft .NET Framework 4 Client Profile DEU Language Pack	Microsoft Corporation	25.04.2011	2,94MB	4.0.30319  unbekannt
Microsoft Virtual PC 2007 SP1	Microsoft Corporation	10.01.2012	38,0MB	6.0.192.0  unnötig
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	08.06.2011	0,42MB	8.0.56336  unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729	Microsoft Corporation	10.12.2011	0,24MB	9.0.30729  unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	22.04.2011	0,58MB	9.0.30729.4148  unbekannt
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219	Microsoft Corporation	15.03.2012	11,1MB	10.0.40219  unbekannt
Mozilla Firefox 10.0.2 (x86 de)	Mozilla	21.02.2012	35,5MB	10.0.2  notwendig
Mozilla Thunderbird 10.0.2 (x86 de)	Mozilla	26.02.2012	38,7MB	10.0.2  notwendig
MSXML 4.0 SP2 (KB954430)	Microsoft Corporation	10.06.2011	35,00KB	4.20.9870.0  unbekannt
MSXML 4.0 SP2 (KB973688)	Microsoft Corporation	10.06.2011	1,33MB	4.20.9876.0  unbekannt
Nero 9	Nero AG	08.06.2011  notwendig		
OpenOffice.org 2.4	OpenOffice.org	22.04.2011	328MB	2.4.9286  notwendig
Opera 11.61	Opera Software ASA	08.02.2012		11.61.1250  notwendig
QuickTime	Apple Inc.	25.12.2011	73,3MB	7.71.80.42  unnötig
Uniblue RegistryBooster	Uniblue Systems Ltd	14.02.2012		6.0.10.7  notwendig
VLC media player 1.1.9	VideoLAN	23.04.2011		1.1.9  notwendig
WinRAR 4.00 (32-Bit)	win.rar GmbH	22.04.2011		4.00.0  notwendig
XviD MPEG-4 Codec		23.04.2011  notwendig

markusg · 19.03.2012, 19:11

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Apple : beide
Desktop Icon
ESET : bei bedarf instalieren.
FireJump
GutscheinRausch
Java
Download der kostenlosen Java-Software
downloade java jre, instalieren

OpenOffice
OpenOffice.org: Startseite (deutsch)
aktuell ist version 3.x

deinstaliere:
QuickTime
Uniblue : finger weg von solchem misst, bringt nichts, und eine falsche löschung und das system bootet nicht mehr.

öffne otl, bereinigen neustart.
öffne CCleaner analysieren, ccleaner starten, pc neustarten.
testen wie das system läuft.

Ernst Haft · 19.03.2012, 20:40

Abschließend wollte ich noch fragen, ob ich beim defogger diesen Re-enable-Button noch drücken muß. Wie nennt sich dieses Anhängsel denn eigentlich, das ich mir da eingefangen hatte? Kann ich mir so einen Mist nur einfangen, wenn ich als Admin unterwegs bin oder auch als unberechtigter User?

So wie es aussieht hast Du mich vor einer von vielen Verlusten gezeichneten Neuinstallation bewahrt. Dafür möchte ich mich nochmals recht herzlich bedanken.
Schönen Gruß,
Andreas

19.03.2012, 11:44	#6
markusg /// Malware-holic	Windows wird blockiert herunterladen und bezahlen 50 EUR öffne malwarebytes, logdateien, poste alle berichte. __________________ --> Windows wird blockiert herunterladen und bezahlen 50 EUR

19.03.2012, 17:32	#10
markusg /// Malware-holic	Windows wird blockiert herunterladen und bezahlen 50 EUR kannst alles bereinigen und dann das log posten. __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

Windows wird blockiert herunterladen und bezahlen 50 EUR

Log-Analyse und Auswertung: Windows wird blockiert herunterladen und bezahlen 50 EUR