Virus - "untergetaucht"? Dann GMER/Rootkit Fund und Systemstreik

FabulousZ · 23.03.2012, 15:40

Hallo liebe Computerexperten!

Ich hoffe, hier hat jemand Spaß an Herausforderungen, ich bin mit meinem Latein am Ende!
Ich entschuldige mich vorab für die Beitraglänge, aber ich dachte ich schreibe mal alles, was evtl wichtig sein könnte.

Ich habe ein riesiges Problem und weiß nicht mehr weiter: Ich befürchte, ein Schadprogramm auf dem PC zu haben, das "untergetaucht" ist und sich nun von keinem Virenscanner mehr finden lässt.

Wie es dazu kam:
Eigentlich bin ich sehr vorsichtig was den Download von Programmen etc. angeht. Daher lief mein PC auch 6 Jahre lang problemlos, regelmäßige Virenscans durch Avast Free brachten niemals irgendwas zutage.
Da er nach 6 Jahren aber ziemlich zugemüllt war und durch De- und Neuinstallationen einige Dateien zurückgeblieben, andere gemeinsam genutzte Dateien versehentlich gelöscht worden waren, und der PC langsam Alterskrankheiten bekam, entschied ich mich dazu, das System neu aufzusetzen, das war vor ca. 1-2 Monaten.

Alle Daten speicherte ich auf einer externen Platte. Dann formatierte ich den Rechner und spielte WinXP Home 32bit erneut auf. Den Virenscanner Avast Free installierte ich bereits vor dem ersten Online-Gang via USB-Stick, kaum stand die Internet-Verbindung, machte ich auch alle Windows-Update (bis Service Pack 3).
Zusätzlich zu Avast Free, das immer im Hintergrund läuft, habe ich AdAware installiert, auch dieses Programm läuft immer mit, ebenso wie die Windows Firewall.

Der PC funktionierte problemlos. Bis auf Firefox - hier schien es Kompatibilitätsprobleme mit den AddOns zu geben, denn wenn ich ein Flash oder JavaScript basierendes Script öffnete, schoss die CPU-Auslastung in die Höhe. De- und Neuinstallationen von Java, Flash und FF brachten keine Besserung, also wich ich auf Google Chrome aus.

Vor ca. 1 Woche brachte mir mein Cousin seine externe Platte mit, damit ich eine größere Datei auf meinen Rechner ziehen konnte. Ich steckte die Platte ein und sie wurde erkannt, ich öffnete das Laufwerk jedoch erstmal nicht und arbeitete weiter. Als ich ein Excel-Dokument öffnen wollte, öffnete sich aber nur das Office-Programm, nicht die Datei. Gleiches Problem mit Word. Ich wollte nun sicherheitshalber einen schnellen Virenscan mit Avast durchführen, doch beim click auf "Scan starten" tat sich nichts. Also Neustart, dachte ich, doch via Start -> Herunterfahren konnte ich den PC nicht herunterfahren, die Schaltfläche öffnete sich ebenfalls nicht (der PC lief in der Zeit ruhig, also keine CPU-Auslastung). Strg+Alt+Entf und der Versuch, hier auf Herunterfahren zu klicken - nichts.
Schließlich drückte ich den Notaus-Knopf.
Fuhr den PC erneut hoch. Wieder waren keine Office-Programme zu öffnen und kein Virenscan zu starten, aber immerhin konnte ich die Startzeitprüfung von Avast planen, sodass diese beim nächsten Hochfahren schon vor dem vollständigen Boot des Systems den PC scannt.
Wieder Not-Aus, An, und beim Boot begann der Virenscan.

Leider war ich gezwungen schon wärend des Scans zu reagieren, und habe die erkannten Dinger, falls möglich, direkt gelöscht.
Hier die Ergebnisse Avast Free Startzeitprüfung:

Code:

ATTFilter

Ich schreibs hier rein weil ich keine Logfile exportieren kann:
I:\Alena\Backup-Data\archivmails2\freeripmp3.ex_|>(app)\s4Setp.exe|>[Embedded_l#040d0]|>[Embedded_l#4d3d8] 
Schweregrad: niedrig
Status: PUP: Win32:FunWeb-B [PUP]
Aktion: Löschen
Ergebnis: Aktion erfolgreich
I:\Alena\Backup-Data\archivmails2\freeripmp3.ex_|>(app)\s4Setp.exe|>[Embedded_l#040d0]
Schweregrad: niedrig
Status: PUP: Win32:FunWeb-B [PUP]
Aktion: Löschen
Ergebnis: Fehler: Das System kann die angegebene Datei nicht finden
I:\Alena\Backup-Data\archivmails2\freeripmp3.ex_|>(app)\s4Setp.exe
Schweregrad: niedrig
Status: PUP: Win32:FunWeb-B [PUP]
Aktion: Löschen
Ergebnis: Fehler: Das System kann die angegebene Datei nicht finden
K:\$RECYCLE.BIN\S-1-5-21-2985943663-2303627949-2539352818-1001\$RDEDJUD\Downloads DS\alktest.exe
Schweregrad: hoch
Status: Bedrohung: Win32 Malware-gen
Aktion: Löschen
Ergebnis: Aktion erfolgreich
K:\Filme\welkerstuff\VIDA2010D\3PP\Products\webex\atscie.msi|>Data1.cab|>ieatgpc.dll
Schweregrad: niedrig
Status: PUP: Win32:PUP-gen [PUP]
Aktion: in Container verschieben
Ergebnis: Fehler: Diese Aktion wird für diesen Archivtyp nicht unterstützt (dieselbe Meldung beim Versuch zu löschen)
K:\System Volume Information\_restore{320DF48E-B989-4385-8767-B38BfB55E87}\RP34\A0012545.exe
Schweregrad: hoch
Status: Bedrohung: Win32 Malware-gen
Aktion: Löschen
Ergebnis: Aktion erfolgreich
K:\System Volume Information\_restore{320DF48E-B989-4385-8767-B38BfB55E87}\RP34\A0012546.msi|>Data1.cab|>ieatgpc.dll
Schweregrad: niedrig
Status: PUP: Win32:PUP-gen [PUP]
Aktion: in Container verschieben
Ergebnis: Fehler: Diese Aktion wird für diesen Archivtyp nicht unterstützt (dieselbe Meldung beim Versuch zu löschen)

Laufwerk K ist die externe Platte meines Cousins, Laufwerk I ist meine externe Platte, die eigentlich immer angeschlossen ist. Wie man sieht, befanden sich beide großen Bedrohungen auf der Platte meines Cousins.

Nach dem Scan fuhr der PC ordnungsgemäß hoch und Excel ließ sich wieder öffnen. Ich machte zur Sicherheit einen weiteren Scan, diesmal mit Ad-Aware:
logfile AdAware Full Scan:

Code:

ATTFilter

 Logfile created: 16.03.2012 21:00:47
Ad-Aware version: 9.6.0
Extended engine: 3
Extended engine version: 3.1.2770
User performing scan: Alena

*********************** Definitions database information ***********************
Lavasoft definition file: 150.755
Genotype definition file version: 2012/02/13 12:34:34
Extended engine definition file: 11664.0

******************************** Scan results: *********************************
Scan profile name: Full Scan  (ID: full)
Objects scanned: 424885
Objects detected: 18


Type              Detected
==========================
Processes.......:        0
Registry entries:        0
Hostfile entries:        0
Files...........:       16
Folders.........:        0
LSPs............:        0
Cookies.........:        2
Browser hijacks.:        0
MRU objects.....:        0



Skipped items:
Description: k:\$recycle.bin\s-1-5-21-2985943663-2303627949-2539352818-1001\$rdedjud\db\ctx4-040510.cab Family Name: Win32.Adware.Altnet.GEN[809] Engine: 1 Clean status: Success Item ID: 0 Family ID: 0 MD5: 490b2e82784c71e585f28c37e4d208e3
Description: k:\$recycle.bin\s-1-5-21-2985943663-2303627949-2539352818-1001\$rdedjud\db\str4-040511.cab Family Name: Win32.Adware.Altnet.GEN[809] Engine: 1 Clean status: Success Item ID: 0 Family ID: 0 MD5: 9881c89c06b6023d9d11926a9acf637b
Description: k:\$recycle.bin\s-1-5-21-2985943663-2303627949-2539352818-1001\$rdedjud\db\tsi4-040525.cab Family Name: Win32.Adware.Altnet.GEN[809] Engine: 1 Clean status: Success Item ID: 0 Family ID: 0 MD5: 23e23c6d8aab82175259eb8ed4c97a13
Description: k:\$recycle.bin\s-1-5-21-2985943663-2303627949-2539352818-1001\$rdedjud\db\tss4.cab Family Name: Win32.Adware.Altnet.GEN[809] Engine: 1 Clean status: Success Item ID: 0 Family ID: 0 MD5: a2a4dcf49a0982d5340e92c635f85619
Description: k:\ds\db\ctx4-040510.cab Family Name: Win32.Adware.Altnet.GEN[809] Engine: 1 Clean status: Success Item ID: 0 Family ID: 0 MD5: 490b2e82784c71e585f28c37e4d208e3
Description: k:\ds\db\str4-040511.cab Family Name: Win32.Adware.Altnet.GEN[809] Engine: 1 Clean status: Success Item ID: 0 Family ID: 0 MD5: 9881c89c06b6023d9d11926a9acf637b
Description: k:\ds\db\tsi4-040525.cab Family Name: Win32.Adware.Altnet.GEN[809] Engine: 1 Clean status: Success Item ID: 0 Family ID: 0 MD5: 23e23c6d8aab82175259eb8ed4c97a13
Description: k:\ds\db\tss4.cab Family Name: Win32.Adware.Altnet.GEN[809] Engine: 1 Clean status: Success Item ID: 0 Family ID: 0 MD5: a2a4dcf49a0982d5340e92c635f85619

Removed items:
Description: *atdmt* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408910 Family ID: 0
Description: *webtrends* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 599640 Family ID: 0

Quarantined items:
Description: k:\$recycle.bin\s-1-5-21-2985943663-2303627949-2539352818-1001\$rdedjud\downloads ds\mcombo.exe Family Name: Trojan.Win32.Generic!SB.0 Engine: 3 Clean status: Success Item ID: 1 Family ID: 0 MD5: 6bcbe8e520d8bb8054de36eac2d27cad
Description: k:\ds\downloads ds\mcombo.exe Family Name: Trojan.Win32.Generic!SB.0 Engine: 3 Clean status: Success Item ID: 1 Family ID: 0 MD5: 6bcbe8e520d8bb8054de36eac2d27cad
Description: k:\$recycle.bin\s-1-5-21-2985943663-2303627949-2539352818-1001\$rdedjud\downloads ds\minecraft\minecraft custom nickname loader.exe Family Name: Win32.Trojan.Agent Engine: 1 Clean status: Success Item ID: 0 Family ID: 936 MD5: 775be9fc70f3d88be71fdb6b2aa13ce3
Description: k:\ds\downloads ds\minecraft\minecraft custom nickname loader.exe Family Name: Win32.Trojan.Agent Engine: 1 Clean status: Success Item ID: 0 Family ID: 936 MD5: 775be9fc70f3d88be71fdb6b2aa13ce3
Description: k:\$recycle.bin\s-1-5-21-2985943663-2303627949-2539352818-1001\$rdedjud\rest\kmd.exe Family Name: Trojan.Win32.Generic!BT Engine: 3 Clean status: Success Item ID: 2 Family ID: 0 MD5: c2054af9600747cb86f6411c765a56c3
Description: k:\ds\rest\kmd.exe Family Name: Trojan.Win32.Generic!BT Engine: 3 Clean status: Success Item ID: 2 Family ID: 0 MD5: c2054af9600747cb86f6411c765a56c3
Description: k:\janis\downloads\cnqrrs_trn\cnqrrs_trn.exe Family Name: Packer.NSAnti.Gen (v) Engine: 3 Clean status: Success Item ID: 3 Family ID: 0 MD5: 8626d92dc4ea53a2b37abc2f1d0f715a
Description: k:\janis\downloads\cnqrrs_trn.rar::cnqrrs_trn.exe Family Name: Packer.NSAnti.Gen (v) Engine: 3 Clean status: Success Item ID: 3 Family ID: 0 MD5: 

Scan and cleaning complete: Finished correctly after 64514 seconds

*********************************** Settings ***********************************

Scan profile:
ID: full, enabled:1, value: Full Scan
  ID: folderstoscan, enabled:1, value: C:\,D:\,I:\,K:\
  ID: useantivirus, enabled:1, value: true
  ID: sections, enabled:1
    ID: scancriticalareas, enabled:1, value: true
    ID: scanrunningapps, enabled:1, value: true
    ID: scanregistry, enabled:1, value: true
    ID: scanlsp, enabled:1, value: true
    ID: scanads, enabled:1, value: true
    ID: scanhostsfile, enabled:1, value: true
    ID: scanmru, enabled:1, value: true
    ID: scanbrowserhijacks, enabled:1, value: true
    ID: scantrackingcookies, enabled:1, value: true
      ID: closebrowsers, enabled:1, value: false
  ID: filescanningoptions, enabled:1
    ID: archives, enabled:1, value: true
    ID: onlyexecutables, enabled:1, value: false
    ID: skiplargerthan, enabled:1, value: 20480
    ID: scanrootkits, enabled:1, value: true
      ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict
    ID: usespywareheuristics, enabled:1, value: true

Scan global:
ID: global, enabled:1
  ID: addtocontextmenu, enabled:1, value: true
  ID: playsoundoninfection, enabled:1, value: false
    ID: soundfile, enabled:0, value: N/A

Scheduled scan settings:
<Empty>

Update settings:
ID: updates, enabled:1
  ID: launchthreatworksafterscan, enabled:1, value: off, domain: normal,off,silently
  ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
  ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
  ID: schedules, enabled:1, value: true
    ID: updatedaily1, enabled:1, value: Daily 1
      ID: time, enabled:1, value: Sun Mar 04 12:44:00 2012
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updatedaily2, enabled:1, value: Daily 2
      ID: time, enabled:1, value: Sun Mar 04 18:44:00 2012
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updatedaily3, enabled:1, value: Daily 3
      ID: time, enabled:1, value: Sun Mar 04 00:44:00 2012
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updatedaily4, enabled:1, value: Daily 4
      ID: time, enabled:1, value: Sun Mar 04 06:44:00 2012
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updateweekly1, enabled:1, value: Weekly
      ID: time, enabled:1, value: Sun Mar 04 12:44:00 2012
      ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: true
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: true
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false

Appearance settings:
ID: appearance, enabled:1
  ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
  ID: showtrayicon, enabled:1, value: true
  ID: autoentertainmentmode, enabled:1, value: true
  ID: guimode, enabled:1, value: mode_simple, domain: mode_advanced,mode_simple
  ID: language, enabled:1, value: en, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language

Realtime protection settings:
ID: realtime, enabled:1
  ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant
  ID: layers, enabled:1
    ID: useantivirus, enabled:1, value: true
    ID: usespywareheuristics, enabled:1, value: true
    ID: maintainbackup, enabled:1, value: true
  ID: modules, enabled:1
    ID: processprotection, enabled:1, value: true
    ID: onaccessprotection, enabled:1, value: true
    ID: registryprotection, enabled:1, value: true
    ID: networkprotection, enabled:1, value: true


****************************** System information ******************************
Computer name: LONELY-GEORGE-I
Processor name:               Intel(R) Pentium(R) 4 CPU 2.80GHz
Processor identifier: x86 Family 15 Model 4 Stepping 3
Processor speed: ~2798MHZ
Raw info: processorarchitecture 0, processortype 586, processorlevel 15, processor revision 1027, number of processors 2, processor features: [MMX,SSE,SSE2]
Physical memory available: 88064000 bytes
Physical memory total: 1072148480 bytes
Virtual memory available: 1905594368 bytes
Virtual memory total: 2147352576 bytes
Memory load: 91%
Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Windows startup mode:

Running processes:
PID: 420 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 692 name: C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 724 name: C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 768 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 780 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 948 name: C:\WINDOWS\system32\Ati2evxx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 968 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1064 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1104 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1216 name: C:\WINDOWS\system32\Ati2evxx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1224 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1288 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1420 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1512 name: C:\Programme\AVAST Software\Avast\AvastSvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1552 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1756 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1796 name: C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2004 name: C:\WINDOWS\Explorer.EXE owner: Alena domain: LONELY-GEORGE-I
PID: 440 name: C:\Programme\Bonjour\mDNSResponder.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 540 name: C:\Programme\Java\jre6\bin\jqs.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1044 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1672 name: C:\Programme\AVAST Software\Avast\avastUI.exe owner: Alena domain: LONELY-GEORGE-I
PID: 1900 name: C:\WINDOWS\system32\Wacom_Tablet.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2060 name: C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe owner: Alena domain: LONELY-GEORGE-I
PID: 2132 name: C:\WINDOWS\SOUNDMAN.EXE owner: Alena domain: LONELY-GEORGE-I
PID: 2156 name: C:\Programme\HP\HP Software Update\HPWuSchd2.exe owner: Alena domain: LONELY-GEORGE-I
PID: 2164 name: C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe owner: Alena domain: LONELY-GEORGE-I
PID: 2188 name: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection\adawarebp.exe owner: Alena domain: LONELY-GEORGE-I
PID: 2204 name: C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe owner: Alena domain: LONELY-GEORGE-I
PID: 2276 name: C:\WINDOWS\system32\Wacom_Tablet.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2300 name: C:\Programme\iTunes\iTunesHelper.exe owner: Alena domain: LONELY-GEORGE-I
PID: 2364 name: C:\WINDOWS\system32\ctfmon.exe owner: Alena domain: LONELY-GEORGE-I
PID: 2388 name: C:\Programme\Skype\Phone\Skype.exe owner: Alena domain: LONELY-GEORGE-I
PID: 2432 name: C:\Programme\Messenger\msmsgs.exe owner: Alena domain: LONELY-GEORGE-I
PID: 2572 name: C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe owner: Alena domain: LONELY-GEORGE-I
PID: 2592 name: C:\WINDOWS\system32\wuauclt.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2616 name: C:\Programme\SITECOM\300N USB Wireless LAN Utility\RtWLan.exe owner: Alena domain: LONELY-GEORGE-I
PID: 2908 name: C:\Dokumente und Einstellungen\Alena\Anwendungsdaten\Dropbox\bin\Dropbox.exe owner: Alena domain: LONELY-GEORGE-I
PID: 3072 name: C:\WINDOWS\system32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3460 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3488 name: C:\Programme\iPod\bin\iPodService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3872 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1368 name: C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe owner: Alena domain: LONELY-GEORGE-I
PID: 1616 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: Alena domain: LONELY-GEORGE-I
PID: 2408 name: C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe owner: Alena domain: LONELY-GEORGE-I
PID: 3836 name: C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe owner: Alena domain: LONELY-GEORGE-I

Startup items:
Name: avast
          imagepath: "C:\Programme\AVAST Software\Avast\avastUI.exe" /nogui
Name: Adobe ARM
          imagepath: "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
Name: StartCCC
          imagepath: "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
Name: SoundMan
          imagepath: SOUNDMAN.EXE
Name: HP Software Update
          imagepath: C:\Programme\HP\HP Software Update\HPWuSchd2.exe
Name: SunJavaUpdateSched
          imagepath: "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
Name: Ad-Aware Browsing Protection
          imagepath: "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection\adawarebp.exe"
Name: AdobeCS4ServiceManager
          imagepath: "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
Name: Adobe_ID0ENQBO
          imagepath: C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
Name: APSDaemon
          imagepath: "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe"
Name: iTunesHelper
          imagepath: "C:\Programme\iTunes\iTunesHelper.exe"
Name: PostBootReminder
          imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}
Name: CDBurn
          imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}
Name: WebCheck
          imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: SysTray
          imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
          imagepath: Browseui preloader
Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
          imagepath: Component Categories cache daemon
Name: CTFMON.EXE
          imagepath: C:\WINDOWS\system32\CTFMON.EXE
Name: 
          imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
Name: 
          location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
          imagepath: C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
Name: 
          location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
          imagepath: C:\Programme\Microsoft Office\Office10\OSA.EXE
Name: 
          location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Sitecom 300N USB Wireless LAN Utility.lnk
          imagepath: C:\Programme\SITECOM\300N USB Wireless LAN Utility\RtWLan.exe
Name: 
          imagepath: C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini

Bootexecute items:
Name: 
          imagepath: autocheck autochk *
Name: 
          imagepath: lsdelete

Running services:
Name: ALG
          displayname: Gatewaydienst auf Anwendungsebene
Name: Apple Mobile Device
          displayname: Apple Mobile Device
Name: Ati HotKey Poller
          displayname: Ati HotKey Poller
Name: AudioSrv
          displayname: Windows Audio
Name: avast! Antivirus
          displayname: avast! Antivirus
Name: Bonjour Service
          displayname: Dienst "Bonjour"
Name: CryptSvc
          displayname: Kryptografiedienste
Name: DcomLaunch
          displayname: DCOM-Server-Prozessstart
Name: Dhcp
          displayname: DHCP-Client
Name: Dnscache
          displayname: DNS-Client
Name: ERSvc
          displayname: Fehlerberichterstattungsdienst
Name: Eventlog
          displayname: Ereignisprotokoll
Name: EventSystem
          displayname: COM+-Ereignissystem
Name: FastUserSwitchingCompatibility
          displayname: Kompatibilität für schnelle Benutzerumschaltung
Name: helpsvc
          displayname: Hilfe und Support
Name: HidServ
          displayname: HID Input Service
Name: iPod Service
          displayname: iPod-Dienst
Name: JavaQuickStarterService
          displayname: Java Quick Starter
Name: lanmanserver
          displayname: Server
Name: lanmanworkstation
          displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
          displayname: Lavasoft Ad-Aware Service
Name: LmHosts
          displayname: TCP/IP-NetBIOS-Hilfsprogramm
Name: Netman
          displayname: Netzwerkverbindungen
Name: Nla
          displayname: NLA (Network Location Awareness)
Name: PlugPlay
          displayname: Plug & Play
Name: PolicyAgent
          displayname: IPSEC-Dienste
Name: ProtectedStorage
          displayname: Geschützter Speicher
Name: RasMan
          displayname: RAS-Verbindungsverwaltung
Name: RpcSs
          displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
          displayname: Sicherheitskontenverwaltung
Name: Schedule
          displayname: Taskplaner
Name: seclogon
          displayname: Sekundäre Anmeldung
Name: SENS
          displayname: Systemereignisbenachrichtigung
Name: SharedAccess
          displayname: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Name: ShellHWDetection
          displayname: Shellhardwareerkennung
Name: Spooler
          displayname: Druckwarteschlange
Name: srservice
          displayname: Systemwiederherstellungsdienst
Name: SSDPSRV
          displayname: SSDP-Suchdienst
Name: stisvc
          displayname: Windows-Bilderfassung (WIA)
Name: TabletServiceWacom
          displayname: TabletServiceWacom
Name: TapiSrv
          displayname: Telefonie
Name: TermService
          displayname: Terminaldienste
Name: Themes
          displayname: Designs
Name: TrkWks
          displayname: Überwachung verteilter Verknüpfungen (Client)
Name: W32Time
          displayname: Windows-Zeitgeber
Name: WebClient
          displayname: WebClient
Name: winmgmt
          displayname: Windows-Verwaltungsinstrumentation
Name: wscsvc
          displayname: Sicherheitscenter
Name: wuauserv
          displayname: Automatische Updates
Name: WZCSVC
          displayname: Konfigurationsfreie drahtlose Verbindung

Dieses Mal befanden sich sogar alle gefundenen Schadprogramme auf K, der externen Platte meines Cousins.

Ein zweiter Scan zeigte keine Ergebnisse mehr.

Ich war also beruhigt. Und meine Probleme waren ja auch verschwunden.

Aber ich wollte mich noch dem CPU-Problem mit den Firefox-AddOns widmen, das ja von Anfang des Neuaufsetzens an bestand, und bat im Camp Firefox Forum um Hilfe. Dort erwähnte ich beiläufig mein Erlebnis mit der externen Platte und man empfahl mir, "Malwarebytes" zum Scan zu verwenden und die Logfile vor irgendwelchen Aktionen im Forum zu posten.
Gesagt, getan, ich machte einen vollständigen Scan mit Malwarebytes (ich glaube, zu diesem Zeitpunkt hatte ich die externe Platte meines Cousins nicht mehr angeschlossen). Kurz vor Ende (nach ca. 2h Scanzeit) zeigte er mir einen Fund an, als ich das nächste Mal kurz danach drauf schaute, hatte er 7 Funde, und kurz danach war er fertig. Ein Fenster von Malwarebytes war geöffnet und die gefundenen Schadprogramme gelistet (mit Pfad). Blöderweise hab ich nicht genau hingesehn wie die Dinger hießen und wo sie sich befanden, denn ich wollte ja eh auf "Bericht speichern" klicken. Doch in dem Moment, als ich auf den Button klickte, stürzte Malwarebytes ab. Als ich das Programm wieder öffnete, waren keine Log-Einträge zu finden.

Sofort führte ich einen zweiten Scan durch. Das Gruselige ist: Dieses Mal fand er nichts. Bei einem dritten Scan suchte ich nur auf dem System, dann nur auf der Wiederherstellungspartition, dann nur auf meiner externen Platte - nichts nichts nichts.
Außerdem öffnete sich ab dem zweiten Scan kein "Berichtfenster" mehr, sondern direkt die Log-Datei, alle Log-Dateien sind auch in Malwarebytes gelistet ohne dass ich sie extra speichern musste. Möglicherweise weil er ab dem 2. Mal nichts mehr gefunden hat?

Danach hab ich doch Panik bekommen.
Hatte ich jetzt noch einen Virus, oder nicht? Ich hätte kein großes Problem damit, den Rechner schon wieder neu aufzusetzen, um sicher zu gehen, dass das System clean ist, das Problem ist nur, dass während der ganzen Zeit meine externe Platte (I:\) mit all meinen wichtigen Daten angeschlossen war und soviel ich weiß die Gefahr besteht, dass diese nun auch verseucht ist. Die externe Platte enthält Fotos, Dokumente, Musik und zwei große Programm-Installationsdateien (Photoshop und Office Backup).

Ich habe gehört, dass Viren sich "verstecken" und dem System vorgaukeln können, es sei sauber. Und dass man so einen Virus nie wieder loswird.
Wie bekomme ich dann meine Daten wieder sauber?

Naja, ich hatte dann noch die winzige Hoffnung, dass ich beim ersten (positiven) Malwarebyte-Scan die externe Platte meines Cousins noch eingesteckt hatte, die bei den folgenden (negativen) aber ausgesteckt war und ich deshalb nichts fand, weil sich die Schadprogramme auf seiner Platte befinden. Das hätte erklärt, warum kein Scanner jetzt noch was findet.

Dann kam ich aufs Trojanerforum und führte die Schritte durch, die empfohlen werden:

1. Scan mit ESET bei laufendem Internet aber ausgeschalteten Virenscannern/Firewall. Ergebnis:

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=314a4da3d816d446a2569f54030f2f72
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-23 01:57:30
# local_time=2012-03-23 02:57:30 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 918 918 0 0
# scanned=240678
# found=0
# cleaned=0
# scan_time=9139

Und ein Scan mit OTL:
OTL EXTRAS Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 23.03.2012 06:53:35 - Run 1
OTL by OldTimer - Version 3.2.39.2     Folder = C:\Dokumente und Einstellungen\Alena\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1022,48 Mb Total Physical Memory | 570,54 Mb Available Physical Memory | 55,80% Memory free
2,40 Gb Paging File | 2,06 Gb Available in Paging File | 85,67% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 223,12 Gb Total Space | 177,49 Gb Free Space | 79,55% Space Free | Partition Type: NTFS
Drive D: | 9,76 Gb Total Space | 3,97 Gb Free Space | 40,73% Space Free | Partition Type: FAT32
Drive F: | 122,76 Mb Total Space | 48,74 Mb Free Space | 39,71% Space Free | Partition Type: FAT32
Drive I: | 931,28 Gb Total Space | 773,59 Gb Free Space | 83,07% Space Free | Partition Type: FAT32
 
Computer Name: LONELY-GEORGE-I | User Name: Alena | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = ChromeHTML] -- C:\Programme\Google\Chrome\Application\chrome.exe (Google Inc.)
 
[HKEY_USERS\S-1-5-21-507921405-1647877149-1801674531-1004\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
http [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
https [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1542:TCP" = 1542:TCP:*:Enabled:Realtek WPS TCP Prot
"1542:UDP" = 1542:UDP:*:Enabled:Realtek WPS UDP Prot
"53:UDP" = 53:UDP:*:Enabled:Realtek AP UDP Prot
"5353:TCP" = 5353:TCP:*:Enabled:Adobe CSI CS4
"3703:TCP" = 3703:TCP:*:Enabled:Adobe Version Cue CS4 Server
"3704:TCP" = 3704:TCP:*:Enabled:Adobe Version Cue CS4 Server
"51000:TCP" = 51000:TCP:*:Enabled:Adobe Version Cue CS4 Server
"51001:TCP" = 51001:TCP:*:Enabled:Adobe Version Cue CS4 Server
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\SITECOM\300N USB Wireless LAN Utility\RtWLan.exe" = C:\Programme\SITECOM\300N USB Wireless LAN Utility\RtWLan.exe:*:Enabled:RtWlan -- (Sitecom Corp.)
"C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe" = C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\HP\Digital Imaging\bin\hposfx08.exe" = C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe" = C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\HP\Digital Imaging\bin\hpfccopy.exe" = C:\Programme\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard)
"C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\HP\Digital Imaging\Unload\HpqPhUnl.exe" = C:\Programme\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe -- (Hewlett-Packard)
"C:\Programme\HP\Digital Imaging\Unload\HpqDIA.exe" = C:\Programme\HP\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe -- ( )
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe" = C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\TeamViewer\Version7\TeamViewer.exe" = C:\Programme\TeamViewer\Version7\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
"C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe" = C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe:*:Enabled:Teamviewer Remote Control Service -- (TeamViewer GmbH)
"C:\Programme\adawaretb\dtUser.exe" = C:\Programme\adawaretb\dtUser.exe:*:Enabled:Ad-Aware Security Toolbar DTX Broker -- (Visicom Media Inc.)
"C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" = C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4 -- (Adobe Systems Incorporated)
"C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe" = C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe:*:Enabled:Adobe Version Cue CS4 Server -- (Adobe Systems Incorporated)
"C:\Dokumente und Einstellungen\Alena\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\Alena\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
"C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Mozilla Firefox -- (Mozilla Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{03ADC8AB-C130-0C3D-1FF9-2C385DF25689}" = CCC Help Czech
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{05308C4E-7285-4066-BAE3-6B50DA6ED755}" = Adobe Update Manager CS4
"{054EFA56-2AC1-48F4-A883-0AB89874B972}" = Adobe Extension Manager CS4
"{055EE59D-217B-43A7-ABFF-507B966405D8}" = ATI Catalyst Control Center
"{069730C2-755A-485B-A205-27A1AAFA836A}" = InstantShareAlert
"{07021185-008D-ABF9-7716-475AC035F8B3}" = CCC Help Spanish
"{098727E1-775A-4450-B573-3F441F1CA243}" = kuler
"{098A2A49-7CF3-4F08-A38D-FB879117152A}" = Adobe Color NA Extra Settings CS4
"{0C180787-F8C8-42FD-A9D3-689BA44BEAAF}" = Corel Painter Essentials 3
"{0D6013AB-A0C7-41DC-973C-E93129C9A29F}" = Adobe Color JA Extra Settings CS4
"{0DC0E85F-36E4-463B-B3EA-4CD8ED2222A1}" = Adobe Color EU Recommended Settings CS4
"{0F723FC1-7606-4867-866C-CE80AD292DAF}" = Adobe CSI CS4
"{0F8D0406-7755-AC37-6529-73AD649DBE32}" = Catalyst Control Center Graphics Previews Common
"{14F70205-1940-4000-88C7-BE799A6B2CAD}" = Adobe Soundbooth CS4
"{1618734A-3957-4ADD-8199-F973763109A8}" = Adobe Anchor Service CS4
"{16E16F01-2E2D-4248-A42F-76261C147B6C}" = Adobe Drive CS4
"{16E6D2C1-7C90-4309-8EC4-D2212690AAA4}" = AdobeColorCommonSetRGB
"{197A3012-8C85-4FD3-AB66-9EC7E13DB92E}" = Adobe AIR
"{1A9DEF19-760C-4e01-958F-D9B8E6C61B90}" = c5100_Help
"{1B7C06E1-4888-47A6-992A-0990B9683486}" = Adobe Version Cue CS4 Server
"{1C8466F1-8D45-45D9-B8CD-D5B243D4E0D6}" = Adobe Creative Suite 4 Production Premium
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{22072CC8-7230-96F8-52F4-05EAF3F906B6}" = CCC Help Polish
"{2368ADBD-6FDF-4B9F-FE41-E20B4D78E79E}" = CCC Help Chinese Standard
"{2376813B-2E5A-4641-B7B3-A0D5ADB55229}" = HPPhotoSmartExpress
"{25EF0DC4-B072-2E04-4581-A13C91423CE6}" = CCC Help Portuguese
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31
"{26F7855C-443B-00A6-F7B8-A97A5403F617}" = CCC Help Danish
"{297190A1-4B0D-4CD6-8B9F-3907F15C3FD8}" = Adobe CS4 American English Speech Analysis Models
"{2CB4A925-48A7-DA65-DCEE-D4DE224B7D84}" = CCC Help English
"{306D75B9-7FFF-FF65-0C76-57F2FE4FE1D6}" = Catalyst Control Center Core Implementation
"{32B12FE4-5A51-751A-1FB6-A14E97EBDD5C}" = CCC Help German
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{351512E5-01BD-E878-6F57-AA3E517D9ECE}" = Skins
"{354A387E-0374-21A3-6832-335674A6D7D1}" = CCC Help French
"{35D94F92-1D3A-43C5-8605-EA268B1A7BD9}" = PDF Settings CS4
"{363790D2-DA98-41DD-9C9F-69FA36B169DE}" = PanoStandAlone
"{39F6E2B4-CFE8-C30A-66E8-489651F0F34C}" = Adobe Media Player
"{3A4E8896-C2E7-4084-A4A4-B8FD1894E739}" = Adobe XMP Panels CS4
"{3C00BEE9-26D0-D9E0-A2D1-62F70D412A12}" = CCC Help Turkish
"{3D2C9DE6-9ADE-4252-A241-E43723B0CE02}" = Adobe Color - Photoshop Specific CS4
"{3DA8DF9A-044E-46C4-8531-DEDBB0EE37FF}" = Adobe WinSoft Linguistics Plugin
"{4346F7AA-3D56-0941-424C-4454E04D37F6}" = CCC Help Italian
"{43509E18-076E-40FE-AF38-CA5ED400A5A9}" = Pixel Bender Toolkit
"{44E240EC-2224-4078-A88B-2CEE0D3016EF}" = Adobe After Effects CS4 Presets
"{45B8A76B-57EC-4242-B019-066400CD8428}" = BufferChm
"{45EC816C-0771-4C14-AE6D-72D1B578F4C8}" = Adobe After Effects CS4
"{47C6F987-685A-41AE-B092-E75B277AEE39}" = Adobe Flash CS4 Extension - Flash Lite STI others
"{4943EFF5-229F-435D-BEA9-BE3CAEA783A7}" = Adobe Service Manager Extension
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4CAE2F2C-75CD-A0DE-7520-449BCBBCC833}" = CCC Help Korean
"{4EA684E9-5C81-4033-A696-3019EC57AC3A}" = HPProductAssistant
"{57F7F0A5-8F22-8E63-E819-803B5C9CA3A5}" = CCC Help Dutch
"{5EA437D2-7A57-B60E-E8F2-76BFAC0895A5}" = CCC Help Chinese Traditional
"{5EAD5443-7194-46CC-A055-428E6ABB1BAF}" = Adobe Encore CS4
"{60DB5894-B5A1-4B62-B0F3-669A22C0EE5D}" = Adobe Dynamiclink Support
"{61AF4E75-050E-0304-3417-8BC16417FEB1}" = CCC Help Greek
"{632005DA-C291-5275-284C-5EE96B05C714}" = Catalyst Control Center HydraVision Full
"{63C24A08-70F3-4C8E-B9FB-9F21A903801D}" = Adobe Color Video Profiles CS CS4
"{63E5CDBF-8214-4F03-84F8-CD3CE48639AD}" = Adobe Photoshop CS4 Support
"{66910000-8B30-4973-A159-6371345AFFA5}" = WebReg
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{67F0E67A-8E93-4C2C-B29D-47C48262738A}" = Adobe Device Central CS4
"{68243FF8-83CA-466B-B2B8-9F99DA5479C4}" = AdobeColorCommonSetCMYK
"{68763C27-235D-4165-A961-FDEA228CE504}" = AiOSoftwareNPI
"{6909F917-5499-482e-9AA1-FAD06A99F231}" = Toolbox
"{6C72BE0C-3E25-CACD-0070-2FD9C02ABA14}" = ccc-core-preinstall
"{736C803C-DD3B-4015-BC51-AFB9E67B9076}" = Readme
"{7406DF60-016D-476B-A2C7-55D997592047}" = Adobe OnLocation CS4
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{7E7B7865-6C80-4373-8BC1-C2EB9431F9DE}" = ProductContextNPI
"{820D3F45-F6EE-4AAF-81EF-CE21FF21D230}" = Adobe Type Support CS4
"{8331C3EA-0C91-43AA-A4D4-27221C631139}" = Status
"{83877DB1-8B77-45BC-AB43-2BAC22E093E0}" = Adobe Bridge CS4
"{842B4B72-9E8F-4962-B3C1-1C422A5C4434}" = Suite Shared Configuration CS4
"{87532CAB-7932-4F84-8937-823337622807}" = Adobe Illustrator CS4
"{87E2B986-07E8-477a-93DC-AF0B6758B192}" = DocProcQFolder
"{880BB617-914E-17E8-D877-A96BAC5794D2}" = Catalyst Control Center Graphics Full New
"{8897CF22-DB6C-8248-895C-12BFA2677F51}" = CCC Help Hungarian
"{8A4CE7FD-9657-4B06-9943-E1819F3D5D67}" = DocProc
"{8B92D97D-DB3D-4926-A8F7-718FE7C5EE18}" = iTunes
"{8CE4E6E9-9D55-43FB-9DDB-688C976BFC05}" = Unload
"{8D7133DE-27D2-47E5-B248-4180278D32AA}" = Catalyst Control Center - Branding
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{931AB7EA-3656-4BB7-864D-022B09E3DD67}" = Adobe Linguistics CS4
"{94D398EB-D2FD-4FD1-B8C4-592635E8A191}" = Adobe CMaps CS4
"{996512CF-F35B-48DE-9291-557FA5316967}" = ScannerCopy
"{9C049499-055C-4a0c-A916-1D8CA1FF45EB}" = Sitecom 300N USB Wireless LAN Driver and Utility
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.2) - Deutsch
"{AEB9948B-4FF2-47C9-990E-47014492A0FE}" = MSXML 6.0 Parser
"{AF710FDE-2815-8C8D-5281-8004C2654AA6}" = CCC Help Russian
"{AFF2D965-C6F2-A210-FBF7-532612AA1D23}" = CCC Help Swedish
"{B05DE7B7-0B40-4411-BD4B-222CAE2D8F15}" = Adobe MotionPicture Color Files CS4
"{B15381DD-FF97-4FCD-A881-ED4DB0975500}" = Adobe Color Video Profiles AE CS4
"{B169BC97-B8AA-4ACA-9CF2-9D0FF5BABDF7}" = Adobe Premiere Pro CS4 Functional Content
"{B21336EE-4AEF-9940-4AC7-EDB89854B8D3}" = CCC Help Thai
"{B29AD377-CC12-490A-A480-1452337C618D}" = Connect
"{B3B9BC18-2A09-4728-9B46-12E85FF3F628}" = C5100
"{B65BA85C-0A27-4BC0-A22D-A66F0E5B9494}" = Adobe Photoshop CS4
"{BB4E33EC-8181-4685-96F7-8554293DEC6A}" = Adobe Output Module
"{BB85ED9C-AFC9-43BD-B8DC-258C3C7DF72E}" = HP Software Update
"{BBA69346-61A1-BD34-E75A-4D81232DB1FE}" = Catalyst Control Center Localization All
"{BD3374D3-C2E6-42B7-A80B-E850B6886246}" = Adobe Flash CS4 STI-other
"{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}" = HP Photosmart, Officejet and Deskjet 7.0.A
"{BE9CEAAA-F069-4331-BF2F-8D350F6504F4}" = Adobe Media Encoder CS4 Additional Exporter
"{BFD5ED08-F066-92D5-BE67-3B9AE5DCFF0C}" = CCC Help Japanese
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C4609F15-FB3C-D97E-BAA1-4F10815039C2}" = Catalyst Control Center Graphics Full Existing
"{C52E3EC1-048C-45E1-8D53-10B0C6509683}" = Adobe Default Language CS4
"{C7F54CF8-D6FB-4E0A-93A3-E68AE0D6C476}" = SolutionCenter
"{C8753E28-2680-49BF-BD48-DD38FD086EFE}" = AiO_Scan_CDA
"{CC75AB5C-2110-4A7F-AF52-708680D22FE8}" = Photoshop Camera Raw
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D01FAC3D-86B4-3A19-9D10-9156A0EB3EBE}" = CCC Help Finnish
"{D499F8DE-3F31-4900-9157-61061613704B}" = Adobe Premiere Pro CS4
"{D73722C8-3F65-C75B-A631-5D36894DAB92}" = ccc-core-static
"{DBC20735-34E6-4E97-A9E5-2066B66B243D}" = TrayApp
"{DDAD33B6-8C00-428D-087B-A7088355B9BE}" = Catalyst Control Center Graphics Light
"{DEB90B8E-0DCB-48CE-B90E-8842A2BD643E}" = Adobe Media Encoder CS4
"{E333F074-FC7F-596D-3D61-44F0EC28E8C0}" = ccc-utility
"{E43196CF-182A-4D9E-9CE7-69616DBEE3B0}" = Ad-Aware
"{EB879750-CCBD-4013-BFD5-0294D4DA5BD0}" = Apple Application Support
"{EB909D22-8D05-43CC-ABDD-8F74DAE36533}" = Adobe Setup
"{EE353798-E875-42E0-B58D-7E6696182EA8}" = Adobe Media Encoder CS4 Dolby
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"{EFC04D3F-A152-47E7-8517-EE0F6201AFEF}" = Apple Mobile Device Support
"{F0E64E2E-3A60-40D8-A55D-92F6831875DA}" = Adobe Search for Help
"{F157460F-720E-482f-8625-AD7843891E5F}" = InstantShareDevicesMFC
"{F3760724-B29D-465B-BC53-E5D72095BCC4}" = Scan
"{F5B7714E-AFA6-4EE7-8EB4-A6A2E149E9DB}" = Ancient Greek (Alkaios)
"{F6076EF9-08E1-442F-B6A2-BFB61B295A14}" = Fax_CDA
"{F6E99614-F042-4459-82B7-8B38B2601356}" = Adobe Flash CS4
"{F8EF2B3F-C345-4F20-8FE4-791A20333CD5}" = Adobe ExtendScript Toolkit CS4
"{F93C84A6-0DC6-42AF-89FA-776F7C377353}" = Adobe PDF Library Files CS4
"{FA38F9E4-BED7-E021-B660-8FDFF7EC6E1A}" = CCC Help Norwegian
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FB15E224-67C3-491F-9F5C-F257BC418412}" = Destinations
"{FBB980B0-63F8-4B48-8D65-90F1D9F81D9F}" = NewCopy_CDA
"{FCDD51BB-CAD0-4BB1-B7DF-CE86D1032794}" = Adobe Fonts All
"adawaretb" = Ad-Aware Security Toolbar
"Adobe AIR" = Adobe AIR
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe_3d93a3f0a9b616dcf6ecc835a3278f7" = Adobe Creative Suite 4 Production Premium
"AIDA64 Extreme Edition_is1" = AIDA64 Extreme Edition v2.20
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"AudibleManager" = AudibleManager
"avast" = avast! Free Antivirus
"CCleaner" = CCleaner
"com.adobe.amp.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Media Player
"ESET Online Scanner" = ESET Online Scanner v3
"Google Chrome" = Google Chrome
"HP Imaging Device Functions" = HP Imaging Device Functions 7.0
"HP Solution Center & Imaging Support Tools" = HP Solution Center 7.0
"HPOCR" = OCR Software by I.R.I.S 7.0
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.1.1000
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 11.0 (x86 de)" = Mozilla Firefox 11.0 (x86 de)
"TeamViewer 7" = TeamViewer 7
"VLC media player" = VLC media player 2.0.0
"Wacom Tablet Driver" = Wacom Tablett
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR 4.10 (32-Bit)
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-507921405-1647877149-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 16.03.2012 07:33:34 | Computer Name = LONELY-GEORGE-I | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung services.exe, Version 5.1.2600.5755, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x011cfb35.
 
Error - 16.03.2012 07:43:38 | Computer Name = LONELY-GEORGE-I | Source = Application Error | ID = 1004
Description = Fehlgeschlagene Anwendung services.exe, Version 5.1.2600.5755, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x011cfb35.
 
Error - 16.03.2012 07:45:05 | Computer Name = LONELY-GEORGE-I | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung services.exe, Version 5.1.2600.5755, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00d8f4b0.
 
Error - 16.03.2012 15:53:28 | Computer Name = LONELY-GEORGE-I | Source = Application Error | ID = 1004
Description = Fehlgeschlagene Anwendung services.exe, Version 5.1.2600.5755, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00d8f4b0.
 
Error - 16.03.2012 16:00:23 | Computer Name = LONELY-GEORGE-I | Source = Application Error | ID = 1001
Description = Fehlerhafter Speicherbereich 545566427.
 
Error - 17.03.2012 12:25:07 | Computer Name = LONELY-GEORGE-I | Source = Lavasoft Ad-Aware Service | ID = 0
Description = 
 
Error - 18.03.2012 07:47:20 | Computer Name = LONELY-GEORGE-I | Source = Lavasoft Ad-Aware Service | ID = 0
Description = 
 
Error - 18.03.2012 20:53:37 | Computer Name = LONELY-GEORGE-I | Source = Userenv | ID = 1512
Description = Die Registrierungsdatei konnte nicht entladen werden. Der für die 
Registrierung verwendete Arbeitsspeicher wurde nicht freigegeben. Dies wird oft 
durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen
 Sie die Dienste entweder unter dem Konto "LocalService" oder "NetworkService" auszuführen.
 Wenden Sie sich an den Netzwerkadministrator, wenn das Problem weiterhin besteht.
       Details - Nicht genügend Systemressourcen, um den angeforderten Dienst auszuführen.
 
 
Error - 21.03.2012 07:48:40 | Computer Name = LONELY-GEORGE-I | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 10.0.2.4428, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.03.2012 07:53:22 | Computer Name = LONELY-GEORGE-I | Source = Lavasoft Ad-Aware Service | ID = 0
Description = 
 
 
< End of report >

--- --- ---

2. Download defogger, DISABLE, dds.com Scan gemacht. Hier die 2 Logfiles:
DDS Log

Code:

ATTFilter

 .DDS Logfile:
DDS Logfile:

	Code: 

 ATTFilter

  
	DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 1.6.0_31
Run by Alena at 7:32:29 on 2012-03-23
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1022.546 [GMT 1:00]
.
AV: Lavasoft Ad-Watch Live! Anti-Virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\Ati2evxx.exe
svchost.exe
svchost.exe
C:\Programme\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
svchost.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\Programme\AVAST Software\Avast\avastUI.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection\adawarebp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\SITECOM\300N USB Wireless LAN Utility\RtWLan.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Alena\Eigene Dateien\Downloads\Defogger.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\msiexec.exe
.
============== Pseudo HJT Report ===============
.
uInternet Settings,ProxyOverride = *.local
mWinlogon: Userinit=c:\windows\system32\userinit.exe
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Ad-Aware Security Toolbar: {6c97a91e-4524-4019-86af-2aa2d567bf5c} - c:\programme\adawaretb\adawareDx.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\programme\java\jre6\bin\ssv.dll
BHO: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\programme\avast software\avast\aswWebRepIE.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Ad-Aware Security Toolbar: {6c97a91e-4524-4019-86af-2aa2d567bf5c} - c:\programme\adawaretb\adawareDx.dll
TB: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\programme\avast software\avast\aswWebRepIE.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [Skype] "c:\programme\skype\phone\Skype.exe" /minimized /regrun
uRun: [MSMSGS] "c:\programme\messenger\msmsgs.exe" /background
uRun: [ccleaner] "c:\programme\ccleaner\CCleaner.exe" /AUTO
mRun: [avast] "c:\programme\avast software\avast\avastUI.exe" /nogui
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
mRun: [StartCCC] "c:\programme\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [SoundMan] SOUNDMAN.EXE
mRun: [HP Software Update] c:\programme\hp\hp software update\HPWuSchd2.exe
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
mRun: [Ad-Aware Browsing Protection] "c:\dokumente und einstellungen\all users\anwendungsdaten\ad-aware browsing protection\adawarebp.exe"
mRun: [AdobeCS4ServiceManager] "c:\programme\gemeinsame dateien\adobe\cs4servicemanager\CS4ServiceManager.exe" -launchedbylogin
mRun: [Adobe_ID0ENQBO] c:\progra~1\gemein~1\adobe\adobev~1\server\bin\VERSIO~2.EXE
mRun: [APSDaemon] "c:\programme\gemeinsame dateien\apple\apple application support\APSDaemon.exe"
mRun: [iTunesHelper] "c:\programme\itunes\iTunesHelper.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\alena\startm~1\progra~1\autost~1\dropbox.lnk - c:\dokumente und einstellungen\alena\anwendungsdaten\dropbox\bin\Dropbox.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\hpdigi~1.lnk - c:\programme\hp\digital imaging\bin\hpqtra08.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\micros~1.lnk - c:\programme\microsoft office\office10\OSA.EXE
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\siteco~1.lnk - c:\programme\sitecom\300n usb wireless lan utility\RtWLan.exe
IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~2\office10\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{3A00BB68-40B0-40DE-92FA-798D2FAFBCBD} : DhcpNameServer = 192.168.2.1
Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\programme\gemeinsame dateien\microsoft shared\web folders\PKMCDO.DLL
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\gemein~1\skype\SKYPE4~1.DLL
Notify: AtiExtEvent - Ati2evxx.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\alena\anwendungsdaten\mozilla\firefox\profiles\kl9yxaf4.default\
FF - plugin: c:\programme\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\programme\google\update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: c:\programme\java\jre6\bin\plugin2\npdeployJava1.dll
FF - plugin: c:\programme\java\jre6\bin\plugin2\npjp2.dll
.
============= SERVICES / DRIVERS ===============
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2012-3-4 64512]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2012-3-4 612184]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2012-3-4 337880]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2012-3-4 20696]
R2 avast! Antivirus;avast! Antivirus;c:\programme\avast software\avast\AvastSvc.exe [2012-3-4 44768]
R2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [2012-3-4 1373480]
R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\drivers\rtl8192su.sys [2012-3-4 606240]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\google\update\GoogleUpdate.exe [2012-3-14 136176]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\lavasoft\ad-aware\AAWService.exe [2011-10-28 2152152]
S2 SkypeUpdate;Skype Updater;c:\programme\skype\updater\Updater.exe [2012-2-15 158856]
S3 Adobe Version Cue CS4;Adobe Version Cue CS4;c:\programme\gemeinsame dateien\adobe\adobe version cue cs4\server\bin\VersionCueCS4.exe [2008-8-15 284016]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\google\update\GoogleUpdate.exe [2012-3-14 136176]
.
=============== Created Last 30 ================
.
2012-03-22 23:10:14	--------	d-----w-	c:\programme\ESET
2012-03-21 15:29:45	--------	d-----w-	c:\dokumente und einstellungen\alena\anwendungsdaten\Malwarebytes
2012-03-21 15:28:34	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2012-03-21 15:28:31	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-03-21 15:28:31	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-03-21 13:41:28	592824	----a-w-	c:\programme\mozilla firefox\gkmedias.dll
2012-03-21 13:41:28	44472	----a-w-	c:\programme\mozilla firefox\mozglue.dll
2012-03-16 20:19:42	--------	d-sh--w-	c:\dokumente und einstellungen\alena\PrivacIE
2012-03-14 14:36:25	4526	----a-w-	c:\windows\system32\PerfStringBackup.TMP
2012-03-09 09:43:54	--------	d-----w-	c:\dokumente und einstellungen\alena\lokale einstellungen\anwendungsdaten\Audible
2012-03-09 09:43:46	255352	----a-w-	c:\windows\system32\awrdscdc.ax
2012-03-09 09:43:33	24576	------w-	c:\windows\system32\msxml3a.dll
2012-03-09 09:43:06	--------	d-----w-	c:\programme\Audible
2012-03-09 09:39:56	5632	----a-w-	c:\windows\system32\ptpusb.dll
2012-03-09 09:39:55	159232	----a-w-	c:\windows\system32\ptpusd.dll
2012-03-09 09:38:08	--------	d-----w-	c:\dokumente und einstellungen\alena\lokale einstellungen\anwendungsdaten\Apple Computer
2012-03-09 09:37:47	26600	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2012-03-09 09:37:47	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2012-03-09 09:36:45	--------	d-----w-	c:\programme\iPod
2012-03-09 09:36:41	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2012-03-09 09:36:40	--------	d-----w-	c:\programme\iTunes
2012-03-09 09:36:18	--------	d-----w-	c:\dokumente und einstellungen\alena\lokale einstellungen\anwendungsdaten\Apple
2012-03-09 09:35:55	4547944	----a-w-	c:\windows\system32\usbaaplrc.dll
2012-03-09 09:35:55	43520	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2012-03-09 09:35:26	--------	d-----w-	c:\programme\Bonjour
2012-03-09 09:35:00	--------	d-----w-	c:\programme\gemeinsame dateien\Apple
2012-03-09 08:45:39	--------	d-sh--w-	c:\dokumente und einstellungen\alena\IETldCache
2012-03-09 00:49:58	6144	-c----w-	c:\windows\system32\dllcache\iecompat.dll
2012-03-09 00:49:30	--------	d-----w-	c:\windows\ie8updates
2012-03-09 00:49:18	602112	-c----w-	c:\windows\system32\dllcache\msfeeds.dll
2012-03-09 00:49:18	55296	-c----w-	c:\windows\system32\dllcache\msfeedsbs.dll
2012-03-09 00:49:18	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2012-03-09 00:49:17	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2012-03-09 00:49:17	247808	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2012-03-09 00:49:17	2000384	-c----w-	c:\windows\system32\dllcache\iertutil.dll
2012-03-09 00:49:17	11082240	-c----w-	c:\windows\system32\dllcache\ieframe.dll
2012-03-09 00:47:11	--------	dc-h--w-	c:\windows\ie8
2012-03-07 12:16:38	--------	d-----w-	c:\dokumente und einstellungen\alena\anwendungsdaten\Dropbox
2012-03-05 20:55:01	--------	d-----w-	c:\windows\ShellNew
2012-03-05 01:52:22	221184	----a-w-	c:\windows\system32\wmpns.dll
2012-03-05 01:37:39	--------	d-----w-	c:\programme\MSXML 4.0
2012-03-05 01:20:32	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\ALM
2012-03-05 01:01:44	--------	d-----w-	c:\programme\gemeinsame dateien\Adobe AIR
2012-03-05 00:52:32	--------	d-----w-	c:\programme\gemeinsame dateien\Macrovision Shared
2012-03-04 23:42:12	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2012-03-04 23:37:22	617472	-c----w-	c:\windows\system32\dllcache\comctl32.dll
2012-03-04 23:36:21	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2012-03-04 23:33:24	139784	-c----w-	c:\windows\system32\dllcache\rdpwd.sys
2012-03-04 23:33:21	105472	-c----w-	c:\windows\system32\dllcache\mup.sys
2012-03-04 23:33:10	66560	-c----w-	c:\windows\system32\dllcache\mshtmled.dll
2012-03-04 23:33:10	105984	-c----w-	c:\windows\system32\dllcache\url.dll
2012-03-04 23:33:09	611840	-c----w-	c:\windows\system32\dllcache\mstime.dll
2012-03-04 23:24:06	758784	-c--a-w-	c:\windows\system32\dllcache\vgx.dll
2012-03-04 23:23:43	10496	-c----w-	c:\windows\system32\dllcache\ndistapi.sys
2012-03-04 23:23:41	3072	-c----w-	c:\windows\system32\dllcache\iacenc.dll
2012-03-04 23:23:41	3072	------w-	c:\windows\system32\iacenc.dll
2012-03-04 23:23:13	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2012-03-04 13:32:46	--------	d-----w-	c:\programme\Corel
2012-03-04 13:16:33	--------	d-----w-	c:\dokumente und einstellungen\alena\lokale einstellungen\anwendungsdaten\Google
2012-03-04 13:15:57	--------	d-----w-	c:\dokumente und einstellungen\alena\lokale einstellungen\anwendungsdaten\Deployment
2012-03-04 12:34:58	16432	----a-w-	c:\windows\system32\lsdelete.exe
2012-03-04 12:14:16	--------	d-----w-	c:\windows\pss
2012-03-04 11:57:25	101720	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2012-03-04 11:44:42	--------	d-----w-	c:\dokumente und einstellungen\alena\lokale einstellungen\anwendungsdaten\adaware
2012-03-04 11:44:38	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\Ad-Aware Browsing Protection
2012-03-04 11:44:35	--------	d-----w-	c:\programme\Toolbar Cleaner
2012-03-04 11:44:32	--------	d-----w-	c:\dokumente und einstellungen\alena\anwendungsdaten\adawaretb
2012-03-04 11:44:31	--------	d-----w-	c:\programme\adawaretb
2012-03-04 11:44:20	64512	----a-w-	c:\windows\system32\drivers\Lbd.sys
2012-03-04 11:44:07	--------	d-----w-	c:\programme\Lavasoft
2012-03-04 11:42:45	--------	d-----w-	c:\programme\CCleaner
2012-03-04 11:39:27	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-04 11:36:22	73728	----a-w-	c:\windows\system32\javacpl.cpl
2012-03-04 11:36:22	472808	----a-w-	c:\windows\system32\deployJava1.dll
2012-03-04 11:28:34	--------	d-----w-	c:\dokumente und einstellungen\alena\lokale einstellungen\anwendungsdaten\ATI
2012-03-04 11:23:00	14048	------w-	c:\windows\system32\spmsg2.dll
2012-03-04 11:20:21	--------	d-----w-	c:\windows\system32\XPSViewer
2012-03-04 11:19:53	89088	----a-w-	c:\windows\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll
2012-03-04 11:19:15	89088	-c----w-	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2012-03-04 11:19:15	597504	-c----w-	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2012-03-04 11:19:15	597504	------w-	c:\windows\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2012-03-04 11:19:15	575488	-c----w-	c:\windows\system32\dllcache\xpsshhdr.dll
2012-03-04 11:19:15	575488	------w-	c:\windows\system32\xpsshhdr.dll
2012-03-04 11:19:15	1676288	-c----w-	c:\windows\system32\dllcache\xpssvcs.dll
2012-03-04 11:19:15	1676288	------w-	c:\windows\system32\xpssvcs.dll
2012-03-04 11:19:15	117760	------w-	c:\windows\system32\prntvpt.dll
2012-03-04 11:19:14	--------	d-----w-	C:\ee82763dee62d86bc22a819835bb5f
2012-03-04 10:39:56	--------	d-----w-	c:\dokumente und einstellungen\alena\anwendungsdaten\TeamViewer
2012-03-04 10:39:52	--------	d-----w-	c:\programme\TeamViewer
2012-03-04 10:26:40	--------	d-----w-	c:\windows\system32\de-de
2012-03-04 10:26:39	--------	d-----w-	c:\windows\l2schemas
2012-03-04 10:26:38	--------	d-----w-	c:\windows\system32\de
2012-03-04 10:26:38	--------	d-----w-	c:\windows\system32\bits
2012-03-04 10:22:35	--------	d-----w-	c:\windows\network diagnostic
2012-03-04 10:18:53	--------	d-----w-	c:\windows\EHome
2012-03-04 04:47:49	--------	d-----w-	c:\programme\gemeinsame dateien\HP
2012-03-04 04:45:37	--------	d-----w-	c:\programme\gemeinsame dateien\Hewlett-Packard
2012-03-04 04:41:17	--------	d-----w-	c:\windows\ServicePackFiles
2012-03-04 04:37:22	16496	----a-r-	c:\windows\system32\drivers\HPZipr12.sys
2012-03-04 04:37:17	49664	----a-r-	c:\windows\system32\drivers\HPZid412.sys
2012-03-04 04:06:48	77824	----a-r-	c:\windows\system32\HPZIDS01.dll
2012-03-04 04:06:46	74240	----a-w-	c:\windows\system32\spool\prtprocs\w32x86\hpzpp054.dll
2012-03-04 04:06:45	38400	----a-w-	c:\windows\system32\hpz3l054.dll
2012-03-04 04:06:23	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2012-03-04 04:02:41	94208	----a-w-	c:\windows\system32\HPZipt12.dll
2012-03-04 04:02:41	69632	----a-w-	c:\windows\system32\HPZipm12.exe
2012-03-04 04:02:41	65536	----a-w-	c:\windows\system32\HPZinw12.exe
2012-03-04 04:02:41	57344	----a-w-	c:\windows\system32\HPZisn12.dll
2012-03-04 04:02:41	282680	----a-w-	c:\windows\system32\HPZidr12.dll
2012-03-04 04:02:41	204800	----a-w-	c:\windows\system32\HPZipr12.dll
2012-03-04 04:02:39	306688	----a-w-	c:\windows\IsUninst.exe
2012-03-04 04:00:58	--------	d-----w-	c:\programme\HP
2012-03-04 03:57:21	25856	----a-w-	c:\windows\system32\drivers\usbprint.sys
2012-03-04 03:54:21	73216	------w-	c:\windows\system32\drivers\atintuxx.sys
2012-03-04 03:38:14	273024	-c----w-	c:\windows\system32\dllcache\bthport.sys
2012-03-04 03:38:14	273024	------w-	c:\windows\system32\drivers\bthport.sys
2012-03-04 03:36:55	12288	-c--a-w-	c:\windows\system32\dllcache\mouhid.sys
2012-03-04 03:36:55	12288	----a-w-	c:\windows\system32\drivers\mouhid.sys
2012-03-04 03:36:52	11312	----a-w-	c:\windows\system32\drivers\wacommousefilter.sys
2012-03-04 03:36:51	12848	----a-w-	c:\windows\system32\drivers\wacomvhid.sys
2012-03-04 03:36:49	--------	d-----w-	c:\windows\system32\WTablet
2012-03-04 03:36:47	181544	------w-	c:\windows\system32\Wintab32.dll
2012-03-04 03:36:46	128296	------w-	c:\windows\system32\Wacom_Tablet.dll
2012-03-04 03:36:45	1373480	------w-	c:\windows\system32\Wacom_Tablet.exe
2012-03-04 03:36:36	--------	d-----w-	c:\programme\Tablet
2012-03-04 03:34:34	203136	-c----w-	c:\windows\system32\dllcache\rmcast.sys
2012-03-04 03:32:51	293376	------w-	c:\windows\system32\browserchoice.exe
2012-03-04 03:31:56	337408	-c----w-	c:\windows\system32\dllcache\netapi32.dll
2012-03-04 03:31:36	220160	-c----w-	c:\windows\system32\dllcache\wordpad.exe
2012-03-04 03:26:56	315392	------r-	c:\windows\alcupd.exe
2012-03-04 03:26:56	217088	----a-r-	c:\windows\Alcrmv.exe
2012-03-04 03:26:46	757760	----a-w-	c:\programme\gemeinsame dateien\installshield\professional\runtime\11\50\intel32\iKernel.dll
2012-03-04 03:26:46	69715	----a-w-	c:\programme\gemeinsame dateien\installshield\professional\runtime\11\50\intel32\ctor.dll
2012-03-04 03:26:46	5632	----a-w-	c:\programme\gemeinsame dateien\installshield\professional\runtime\11\50\intel32\DotNetInstaller.exe
2012-03-04 03:26:46	274432	----a-w-	c:\programme\gemeinsame dateien\installshield\professional\runtime\11\50\intel32\iscript.dll
2012-03-04 03:26:46	204800	----a-w-	c:\programme\gemeinsame dateien\installshield\professional\runtime\11\50\intel32\iuser.dll
2012-03-04 03:26:43	331908	----a-w-	c:\programme\gemeinsame dateien\installshield\professional\runtime\11\50\intel32\setup.dll
2012-03-04 03:26:43	200836	----a-w-	c:\programme\gemeinsame dateien\installshield\professional\runtime\11\50\intel32\iGdi.dll
2012-03-04 03:26:04	26144	----a-w-	c:\windows\system32\spupdsvc.exe
2012-03-04 03:26:04	--------	d-----w-	c:\windows\system32\PreInstall
2012-03-04 03:10:02	--------	d-----w-	c:\programme\FinalWire
2012-03-04 03:01:21	0	----a-w-	c:\windows\ativpsrm.bin
.
==================== Find3M  ====================
.
2012-03-21 13:14:58	26624	----a-w-	c:\windows\system32\userinit.exe
2012-03-07 00:15:19	41184	----a-w-	c:\windows\avastSS.scr
2012-03-07 00:03:51	612184	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-03-04 02:23:33	21361	----a-w-	c:\windows\system32\drivers\AegisP.sys
2012-02-03 09:57:08	1860224	----a-w-	c:\windows\system32\win32k.sys
2012-01-09 16:20:20	139784	----a-w-	c:\windows\system32\drivers\rdpwd.sys
.
============= FINISH:  7:33:09,32 ===============

[/CODE]
--- --- ---
--- --- ---
Attach:

Code:

ATTFilter

 .
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows XP Home Edition
Boot Device: \Device\HarddiskVolume1
Install Date: 04.03.2012 02:53:48
System Uptime: 22.03.2012 22:06:44 (9 hours ago)
.
Motherboard: MICRO-STAR INTERNATIONAL CO., LTD |  | MS-7222
Processor:               Intel(R) Pentium(R) 4 CPU 2.80GHz | Socket 775 | 2798/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 223 GiB total, 177,514 GiB free.
D: is FIXED (FAT32) - 10 GiB total, 3,975 GiB free.
E: is Removable
F: is Removable
G: is Removable
H: is CDROM ()
I: is FIXED (FAT32) - 931 GiB total, 773,59 GiB free.
.
==== Disabled Device Manager Items =============
.
Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC
Device ID: PCI\VEN_10EC&DEV_8139&SUBSYS_222C1462&REV_10\3&13C0B0C5&0&38
Manufacturer: Realtek
Name: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC
PNP Device ID: PCI\VEN_10EC&DEV_8139&SUBSYS_222C1462&REV_10\3&13C0B0C5&0&38
Service: rtl8139
.
==== System Restore Points ===================
.
RP8: 04.03.2012 05:39:09 - Software Distribution Service 3.0
RP9: 04.03.2012 11:15:15 - Software Distribution Service 3.0
RP10: 04.03.2012 12:19:31 - Installed Windows KB954550-v5.
RP11: 04.03.2012 12:19:42 - Druckertreiber Microsoft XPS Document Writer installiert
RP12: 04.03.2012 12:23:00 - Installed %1 %2.
RP13: 04.03.2012 12:36:04 - Java(TM) 6 Update 31 wird installiert
RP14: 04.03.2012 12:43:18 - Installed Ad-Aware
RP15: 04.03.2012 12:44:05 - Installed Ad-Aware
RP16: 04.03.2012 14:32:43 - Corel Painter Essentials 3 wird installiert
RP17: 05.03.2012 02:36:06 - Software Distribution Service 3.0
RP18: 05.03.2012 11:54:38 - Druckertreiber Microsoft XPS Document Writer installiert
RP20: 05.03.2012 21:54:08 - Microsoft Office XP Professional mit FrontPage wird installiert
RP21: 06.03.2012 00:41:14 - Removed Adobe Flash Player 10 ActiveX.
RP22: 06.03.2012 00:43:39 - Removed Adobe Flash Player 10 Plugin.
RP23: 06.03.2012 01:05:34 - Removed Adobe Flash Player 10 Plugin.
RP24: 07.03.2012 01:34:39 - Systemprüfpunkt
RP25: 08.03.2012 22:31:23 - Systemprüfpunkt
RP26: 08.03.2012 23:12:53 - Software Distribution Service 3.0
RP27: 09.03.2012 01:42:27 - Software Distribution Service 3.0
RP28: 09.03.2012 10:36:31 - iTunes wird installiert
RP29: 10.03.2012 01:30:09 - Software Distribution Service 3.0
RP30: 11.03.2012 22:19:29 - Systemprüfpunkt
RP31: 13.03.2012 14:09:22 - Systemprüfpunkt
RP32: 14.03.2012 14:24:21 - Systemprüfpunkt
RP33: 14.03.2012 15:33:01 - Software Distribution Service 3.0
RP34: 15.03.2012 16:01:30 - Systemprüfpunkt
RP35: 17.03.2012 03:12:48 - Systemprüfpunkt
RP36: 18.03.2012 03:28:07 - Systemprüfpunkt
RP37: 19.03.2012 10:56:47 - Systemprüfpunkt
RP38: 20.03.2012 13:37:42 - Systemprüfpunkt
RP39: 21.03.2012 19:33:33 - Systemprüfpunkt
RP40: 23.03.2012 01:28:59 - Systemprüfpunkt
RP41: 23.03.2012 06:55:44 - OTL Restore Point - 23.03.2012 06:55:42
.
==== Installed Programs ======================
.
Ad-Aware
Ad-Aware Security Toolbar
Adobe After Effects CS4
Adobe After Effects CS4 Presets
Adobe AIR
Adobe Anchor Service CS4
Adobe Bridge CS4
Adobe CMaps CS4
Adobe Color - Photoshop Specific CS4
Adobe Color EU Recommended Settings CS4
Adobe Color JA Extra Settings CS4
Adobe Color NA Extra Settings CS4
Adobe Color Video Profiles AE CS4
Adobe Color Video Profiles CS CS4
Adobe Creative Suite 4 Production Premium
Adobe CS4 American English Speech Analysis Models
Adobe CSI CS4
Adobe Default Language CS4
Adobe Device Central CS4
Adobe Drive CS4
Adobe Dynamiclink Support
Adobe Encore CS4
Adobe ExtendScript Toolkit CS4
Adobe Extension Manager CS4
Adobe Flash CS4
Adobe Flash CS4 Extension - Flash Lite STI others
Adobe Flash CS4 STI-other
Adobe Flash Player 11 Plugin
Adobe Fonts All
Adobe Illustrator CS4
Adobe Linguistics CS4
Adobe Media Encoder CS4
Adobe Media Encoder CS4 Additional Exporter
Adobe Media Encoder CS4 Dolby
Adobe Media Player
Adobe MotionPicture Color Files CS4
Adobe OnLocation CS4
Adobe Output Module
Adobe PDF Library Files CS4
Adobe Photoshop CS4
Adobe Photoshop CS4 Support
Adobe Premiere Pro CS4
Adobe Premiere Pro CS4 Functional Content
Adobe Reader X (10.1.2) - Deutsch
Adobe Search for Help
Adobe Service Manager Extension
Adobe Setup
Adobe Soundbooth CS4
Adobe Type Support CS4
Adobe Update Manager CS4
Adobe Version Cue CS4 Server
Adobe WinSoft Linguistics Plugin
Adobe XMP Panels CS4
AdobeColorCommonSetCMYK
AdobeColorCommonSetRGB
AIDA64 Extreme Edition v2.20
AiO_Scan_CDA
AiOSoftwareNPI
Ancient Greek (Alkaios)
Apple Application Support
Apple Mobile Device Support
Apple Software Update
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
AudibleManager
avast! Free Antivirus
Bonjour
BufferChm
C5100
c5100_Help
Catalyst Control Center - Branding
Catalyst Control Center Core Implementation
Catalyst Control Center Graphics Full Existing
Catalyst Control Center Graphics Full New
Catalyst Control Center Graphics Light
Catalyst Control Center Graphics Previews Common
Catalyst Control Center HydraVision Full
Catalyst Control Center Localization All
ccc-core-preinstall
ccc-core-static
ccc-utility
CCC Help Chinese Standard
CCC Help Chinese Traditional
CCC Help Czech
CCC Help Danish
CCC Help Dutch
CCC Help English
CCC Help Finnish
CCC Help French
CCC Help German
CCC Help Greek
CCC Help Hungarian
CCC Help Italian
CCC Help Japanese
CCC Help Korean
CCC Help Norwegian
CCC Help Polish
CCC Help Portuguese
CCC Help Russian
CCC Help Spanish
CCC Help Swedish
CCC Help Thai
CCC Help Turkish
CCleaner
Connect
Corel Painter Essentials 3
Destinations
DeviceManagementQFolder
DocProc
DocProcQFolder
Dropbox
ESET Online Scanner v3
eSupportQFolder
Fax_CDA
Google Chrome
Google Update Helper
Hotfix für Windows XP (KB2633952)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB981793)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Windows XP (KB954550-v5)
Hotfix for Windows XP (KB976002-v5)
HP Imaging Device Functions 7.0
HP Photosmart, Officejet and Deskjet 7.0.A
HP Software Update
HP Solution Center 7.0
HPPhotoSmartExpress
HPProductAssistant
InstantShareAlert
InstantShareDevicesMFC
iTunes
Java Auto Updater
Java(TM) 6 Update 31
kuler
Malwarebytes Anti-Malware Version 1.60.1.1000
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Office XP Professional mit FrontPage
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Mozilla Firefox 11.0 (x86 de)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser
NewCopy_CDA
OCR Software by I.R.I.S 7.0
PanoStandAlone
PDF Settings CS4
Photoshop Camera Raw
Pixel Bender Toolkit
ProductContextNPI
Readme
Realtek AC'97 Audio
Scan
ScannerCopy
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2657424)
Sicherheitsupdate für Microsoft Windows (KB2564958)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2618444)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2647516)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)
Sicherheitsupdate für Windows Media Player (KB2378111)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player (KB975558)
Sicherheitsupdate für Windows Media Player (KB978695)
Sicherheitsupdate für Windows Media Player (KB979402)
Sicherheitsupdate für Windows XP (KB2079403)
Sicherheitsupdate für Windows XP (KB2115168)
Sicherheitsupdate für Windows XP (KB2229593)
Sicherheitsupdate für Windows XP (KB2296011)
Sicherheitsupdate für Windows XP (KB2347290)
Sicherheitsupdate für Windows XP (KB2360937)
Sicherheitsupdate für Windows XP (KB2387149)
Sicherheitsupdate für Windows XP (KB2393802)
Sicherheitsupdate für Windows XP (KB2412687)
Sicherheitsupdate für Windows XP (KB2419632)
Sicherheitsupdate für Windows XP (KB2423089)
Sicherheitsupdate für Windows XP (KB2440591)
Sicherheitsupdate für Windows XP (KB2443105)
Sicherheitsupdate für Windows XP (KB2476490)
Sicherheitsupdate für Windows XP (KB2478960)
Sicherheitsupdate für Windows XP (KB2478971)
Sicherheitsupdate für Windows XP (KB2479943)
Sicherheitsupdate für Windows XP (KB2481109)
Sicherheitsupdate für Windows XP (KB2483185)
Sicherheitsupdate für Windows XP (KB2485663)
Sicherheitsupdate für Windows XP (KB2506212)
Sicherheitsupdate für Windows XP (KB2507618)
Sicherheitsupdate für Windows XP (KB2507938)
Sicherheitsupdate für Windows XP (KB2508429)
Sicherheitsupdate für Windows XP (KB2509553)
Sicherheitsupdate für Windows XP (KB2510581)
Sicherheitsupdate für Windows XP (KB2535512)
Sicherheitsupdate für Windows XP (KB2536276-v2)
Sicherheitsupdate für Windows XP (KB2544521)
Sicherheitsupdate für Windows XP (KB2544893-v2)
Sicherheitsupdate für Windows XP (KB2566454)
Sicherheitsupdate für Windows XP (KB2570222)
Sicherheitsupdate für Windows XP (KB2570947)
Sicherheitsupdate für Windows XP (KB2584146)
Sicherheitsupdate für Windows XP (KB2585542)
Sicherheitsupdate für Windows XP (KB2592799)
Sicherheitsupdate für Windows XP (KB2598479)
Sicherheitsupdate für Windows XP (KB2603381)
Sicherheitsupdate für Windows XP (KB2618451)
Sicherheitsupdate für Windows XP (KB2619339)
Sicherheitsupdate für Windows XP (KB2620712)
Sicherheitsupdate für Windows XP (KB2621440)
Sicherheitsupdate für Windows XP (KB2624667)
Sicherheitsupdate für Windows XP (KB2631813)
Sicherheitsupdate für Windows XP (KB2633171)
Sicherheitsupdate für Windows XP (KB2641653)
Sicherheitsupdate für Windows XP (KB2646524)
Sicherheitsupdate für Windows XP (KB2647516)
Sicherheitsupdate für Windows XP (KB2647518)
Sicherheitsupdate für Windows XP (KB2660465)
Sicherheitsupdate für Windows XP (KB2661637)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971468)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975561)
Sicherheitsupdate für Windows XP (KB975562)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977816)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978037)
Sicherheitsupdate für Windows XP (KB978338)
Sicherheitsupdate für Windows XP (KB978542)
Sicherheitsupdate für Windows XP (KB978601)
Sicherheitsupdate für Windows XP (KB978706)
Sicherheitsupdate für Windows XP (KB979309)
Sicherheitsupdate für Windows XP (KB979482)
Sicherheitsupdate für Windows XP (KB979559)
Sicherheitsupdate für Windows XP (KB979683)
Sicherheitsupdate für Windows XP (KB979687)
Sicherheitsupdate für Windows XP (KB980195)
Sicherheitsupdate für Windows XP (KB980218)
Sicherheitsupdate für Windows XP (KB980232)
Sicherheitsupdate für Windows XP (KB981322)
Sicherheitsupdate für Windows XP (KB981997)
Sicherheitsupdate für Windows XP (KB982132)
Sicherheitsupdate für Windows XP (KB982381)
Sicherheitsupdate für Windows XP (KB982665)
Sitecom 300N USB Wireless LAN Driver and Utility
Skins
Skype™ 5.8
SolutionCenter
Status
Suite Shared Configuration CS4
TeamViewer 7
Toolbox
TrayApp
Unload
Update für Windows Internet Explorer 8 (KB2598845)
Update für Windows XP (KB2345886)
Update für Windows XP (KB2467659)
Update für Windows XP (KB2641690)
Update für Windows XP (KB951978)
Update für Windows XP (KB955759)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB971029)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
VLC media player 2.0.0
Wacom Tablett
WebFldrs XP
WebReg
Windows Internet Explorer 8
Windows XP Service Pack 3
WinRAR 4.10 (32-Bit)
XML Paper Specification Shared Components Language Pack 1.0
.
==== End Of File ===========================

3. Neustart, Download GMER, Virenprüfung GMER nach Anleitung (nur C:\, kein IAT/EAT) bei ausgeschaltetem Internet.

Dauerte ewig, war zwischenzeitlich weg, als ich wiederkam war der Scan beendet, mein Bildschirmhintergrund schwarz (statt Wallpaper) und ich hatte die Meldung "Warnung! GMER hat Veränderungen am Rootkit gefunden" oder so ähnlich.
Ich clickte auf OK und scrollte durch die ewig lange Logfile bei der einige Zeilen rot markiert waren (schätze so 30-40), wollte diese dann speichern, aber bekam die Meldung "Nicht genügend Quoten zum Ausführen des Befehls". Da bemerkte ich, dass auch etliche Desktop Icons verschwunden waren und Text und Grafiken tlw. nicht angezeigt wurden (auch im Startmenü). Irgendwann konnte ich trotz der Meldung doch ein Log speichern, aber sah es nicht weil der Desktop ja nicht alle Files anzeigte.
Ich startete neu, klickte auf die Logdatei und musste feststellen, dass sie leer war.

Tja, damit wäre dann die Hoffnung, die Viren seien nur auf der externen Platte meines Cousins, auch dahin.

Was soll ich jetzt als nächstes tun? Nochmal GMER Scan?
Wie finde ich heraus, ob meine externe Platte clean ist bzw wie rette ich die Daten darauf?
Blöderweise war meine Platte ja die ganze Zeit angeschlossen :-(
Das System neu aufsetzen ist kein Problem, da ist ja nix wichtiges drauf, aber meine Daten auf der externen.... was mach ich nur?

Totale Panik. Ich hoffe, es hat jemand durchgehalten alles zu lesen, und weiß Rat!

Kurzes Update:
Ich versuchte erneut, den GMER Scan durchzuführen. Nach kurzer Zeit schon brach es ab und ich bekam eine Fehlermeldung von GMER, sofort klickte ich wieder auf das GMER Icon doch dann wurde der Bildschirm blau (noch vom Abbruch davor oder weil ich erneut versuchte, das Programm zu öffnen?) und da stand dann was von "Windows wird aufgrund eines schwerwiegenden Fehlers neu gestartet"
Mehr konnte ich nicht lesen, da war die Meldung schon wieder weg.

Dann hab ich mal nur die oberen 4 Haken angelassen und nur das gescannt, dann alle Haken bis auf "Files" und nur das gescannt. Beide Male lief der Scan durch und am Ende hatte ich eine Handvoll Einträge, die ich als log speicherte.
Im dritten Versuch wollte ich nur meine externe Platte I:\ scannen, wieder Abbruch, schwerwiegender Fehler.

Danach startete ich Windows im abgesicherten Modus und machte einen kompletten Scan wie hier am Forum angegeben, nur halt mit C:\ (System) statt I.\, und tatsächlich lief der Scan druch, fand allerdings nicht besonders viel (log gespeichert).

Zuletzt machte ich noch einen letzten Versuch im nicht-abgesicherten Modus mit den normalen Einstellungen, diesmal kam der Scan durch, fand aber bei weitem nicht so viele Sachen wie beim ersten Start, wo ich aufgrund "nicht verfügbarer Quoten" die Logdatei nicht speichern konnte. Da waren es hunderte, wenn nicht tausende Sachen, die im Fenster gelistet waren, und einige davon waren rot markiert (ca 40?) und dieses Mal waren es vielleicht eine Seite Einträge und keiner war rot.

Kurzes Update:
Ich versuchte erneut, den GMER Scan durchzuführen. Nach kurzer Zeit schon brach es ab und ich bekam eine Fehlermeldung von GMER, sofort klickte ich wieder auf das GMER Icon doch dann wurde der Bildschirm blau (noch vom Abbruch davor oder weil ich erneut versuchte, das Programm zu öffnen?) und da stand dann was von "Windows wird aufgrund eines schwerwiegenden Fehlers neu gestartet"
Mehr konnte ich nicht lesen, da war die Meldung schon wieder weg.

Dann hab ich mal nur die oberen 4 Haken angelassen und nur das gescannt, dann alle Haken bis auf "Files" und nur das gescannt. Beide Male lief der Scan durch und am Ende hatte ich eine Handvoll Einträge, die ich als log speicherte.
Im dritten Versuch wollte ich nur meine externe Platte I:\ scannen, wieder Abbruch, schwerwiegender Fehler.

Danach startete ich Windows im abgesicherten Modus und machte einen kompletten Scan wie hier am Forum angegeben, nur halt mit C:\ (System) statt I.\, und tatsächlich lief der Scan druch, fand allerdings nicht besonders viel (log gespeichert).

Zuletzt machte ich noch einen letzten Versuch im nicht-abgesicherten Modus mit den normalen Einstellungen, diesmal kam der Scan durch, fand aber bei weitem nicht so viele Sachen wie beim ersten Start, wo ich aufgrund "nicht verfügbarer Quoten" die Logdatei nicht speichern konnte. Da waren es hunderte, wenn nicht tausende Sachen, die im Fenster gelistet waren, und einige davon waren rot markiert (ca 40?) und dieses Mal waren es vielleicht eine Seite Einträge und keiner war rot.

cosinus · 25.03.2012, 16:07

Boah wieviel Text hast du denn da produziert, kannst du es bitte mal auf das Wesentliche beschränken?!

Versuch es bitte so kurz wie möglich zu erklären. So viel wie nötig, so kurz wie möglich, aber bei diesem vielen Text glaube ich steige nicht nur ich aus

FabulousZ · 25.03.2012, 20:59

Ok sorry!

Ich wusste nicht, was wichtig ist. Und in eurer Anleitung stand "so detailliert wie möglich"

Ich mach nen neues Thema auf mit so-kurz-wie-möglich Beschreibung, ok?

cosinus · 26.03.2012, 14:33

Zitat:

Ich wusste nicht, was wichtig ist. Und in eurer Anleitung stand "so detailliert wie möglich"

Ja das mag schon sein, aber wenn das ganze Überhand nimmt, lliest sich das kaum noch jmd freiwillig durch

Edit: Machen wir erstmal alles da weiter => http://www.trojaner-board.de/112324-...byte-logs.html

bevor hier weiter gepostet wird mach ich hier dicht

25.03.2012, 16:07	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Virus - "untergetaucht"? Dann GMER/Rootkit Fund und Systemstreik Boah wieviel Text hast du denn da produziert, kannst du es bitte mal auf das Wesentliche beschränken?! Versuch es bitte so kurz wie möglich zu erklären. So viel wie nötig, so kurz wie möglich, aber bei diesem vielen Text glaube ich steige nicht nur ich aus __________________ __________________

Virus - "untergetaucht"? Dann GMER/Rootkit Fund und Systemstreik

Plagegeister aller Art und deren Bekämpfung: Virus - "untergetaucht"? Dann GMER/Rootkit Fund und Systemstreik