Hallo,

ich habe seit dem 30.04. einen Trojaner auf dem Labtop.
Symptome:
schwarzes Display, leere Dateien, Fehlermeldungen (unzählbar), Avira hat das Virus in Quaratäne verschoben, seitdem ist der Virenscan ok
Alle von Trojaner Board empfohlenen Schritte sind durchgeführt und werden in Textform gepostet oder angehängt.
Nur die dds.exe funktioniert nicht (Absturz).

Ich erhoffe mir Hilfe aus diesem Forum.

Vorab schon mal vielen Dank!
arnie

Avira

Zitat:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 30. April 2012 13:46

Es wird nach 3723543 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : KVG_NOTEBOOK

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 31.01.2012 06:55:54
AVSCAN.DLL : 12.1.0.18 65744 Bytes 31.01.2012 06:56:30
LUKE.DLL : 12.1.0.19 68304 Bytes 31.01.2012 06:56:02
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 31.01.2012 06:55:54
AVREG.DLL : 12.1.0.36 229128 Bytes 07.04.2012 20:03:22
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:49:22
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 06:56:16
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 06:56:22
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 12:46:10
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:02:04
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 20:02:04
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 20:02:04
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 20:02:04
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 20:02:04
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 20:02:04
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 20:02:04
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 20:02:04
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 20:02:04
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 20:02:04
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 20:02:04
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 20:02:06
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 20:02:06
VBASE017.VDF : 7.11.27.41 247808 Bytes 08.04.2012 10:17:22
VBASE018.VDF : 7.11.27.107 161280 Bytes 12.04.2012 17:03:14
VBASE019.VDF : 7.11.27.159 148992 Bytes 13.04.2012 17:03:14
VBASE020.VDF : 7.11.27.201 207360 Bytes 17.04.2012 17:41:20
VBASE021.VDF : 7.11.28.3 237568 Bytes 19.04.2012 17:41:22
VBASE022.VDF : 7.11.28.49 193536 Bytes 20.04.2012 17:41:22
VBASE023.VDF : 7.11.28.99 195072 Bytes 23.04.2012 12:01:28
VBASE024.VDF : 7.11.28.133 247808 Bytes 24.04.2012 12:01:30
VBASE025.VDF : 7.11.28.183 186880 Bytes 26.04.2012 11:23:08
VBASE026.VDF : 7.11.28.235 166400 Bytes 30.04.2012 11:23:08
VBASE027.VDF : 7.11.28.236 2048 Bytes 30.04.2012 11:23:08
VBASE028.VDF : 7.11.28.237 2048 Bytes 30.04.2012 11:23:08
VBASE029.VDF : 7.11.28.238 2048 Bytes 30.04.2012 11:23:08
VBASE030.VDF : 7.11.28.239 2048 Bytes 30.04.2012 11:23:08
VBASE031.VDF : 7.11.28.240 2048 Bytes 30.04.2012 11:23:08
Engineversion : 8.2.10.58
AEVDF.DLL : 8.1.2.2 106868 Bytes 31.01.2012 06:55:40
AESCRIPT.DLL : 8.1.4.18 455034 Bytes 30.04.2012 11:23:12
AESCN.DLL : 8.1.8.2 131444 Bytes 27.03.2012 12:46:20
AESBX.DLL : 8.2.5.5 606579 Bytes 27.03.2012 12:46:20
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 06:55:38
AEPACK.DLL : 8.2.16.9 807287 Bytes 07.04.2012 20:03:20
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 30.04.2012 11:23:12
AEHEUR.DLL : 8.1.4.21 4682102 Bytes 30.04.2012 11:23:12
AEHELP.DLL : 8.1.20.0 254326 Bytes 30.04.2012 11:23:10
AEGEN.DLL : 8.1.5.28 422260 Bytes 30.04.2012 11:23:10
AEEXP.DLL : 8.1.0.33 82293 Bytes 30.04.2012 11:23:12
AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 06:55:36
AECORE.DLL : 8.1.25.6 201078 Bytes 27.03.2012 12:46:16
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 06:55:34
AVWINLL.DLL : 12.1.0.17 27344 Bytes 31.01.2012 06:55:56
AVPREF.DLL : 12.1.0.17 51920 Bytes 31.01.2012 06:55:52
AVREP.DLL : 12.1.0.17 179408 Bytes 31.01.2012 06:55:52
AVARKT.DLL : 12.1.0.23 209360 Bytes 31.01.2012 06:55:48
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 31.01.2012 06:55:48
SQLITE3.DLL : 3.7.0.0 398288 Bytes 31.01.2012 06:56:08
AVSMTP.DLL : 12.1.0.17 62928 Bytes 31.01.2012 06:55:54
NETNT.DLL : 12.1.0.17 17104 Bytes 31.01.2012 06:56:04
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 31.01.2012 06:56:34
RCTEXT.DLL : 12.1.0.16 98512 Bytes 31.01.2012 06:56:34

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Meine Dokumente
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4f9e75e4\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +JOKE,+SPR,

Beginn des Suchlaufs: Montag, 30. April 2012 13:46

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\XkFcjVGVgWJhiQK.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8
Fehler beim erzeugen des Systemwiederherstellungspunktes: Systemfehler [1008]: Es wurde versucht, auf ein Token zuzugreifen, das nicht vorhanden ist.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path\Debugger> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-555022624-2521480780-4108702456-1005\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XkFcjVGVgWJhiQK.exe> wurde erfolgreich entfernt.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'attrib.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JTht14hdyBMueG.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\JTht14hdyBMueG.exe>
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8
[HINWEIS] Prozess 'JTht14hdyBMueG.exe' wurde beendet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '528e252b.qua' verschoben!
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATICZE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBtMnt.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'XkFcjVGVgWJhiQK.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\XkFcjVGVgWJhiQK.exe>
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8
[HINWEIS] Prozess 'XkFcjVGVgWJhiQK.exe' wurde beendet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55fb0af4.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XkFcjVGVgWJhiQK.exe> wurde erfolgreich repariert.
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnp2std.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WifiSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSvcHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netdde.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\XkFcjVGVgWJhiQK.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\Klaus von Gierke\Eigene Dateien'


Ende des Suchlaufs: Montag, 30. April 2012 14:15
Benötigte Zeit: 29:30 Minute(n)

Der Suchlauf wurde abgebrochen!

31 Verzeichnisse wurden überprüft
1996 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1993 Dateien ohne Befall
16 Archive wurden durchsucht
0 Warnungen
3 Hinweise

Zitat:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 11:06 on 02/05/2012 (Klaus von Gierke)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read sptd8717.sys
Unable to read sptd.sys
Unable to read dtscsi.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-

Zitat:

OTL Extras logfile created on: 02.05.2012 09:08:45 - Run 1
OTL by OldTimer - Version 3.2.42.2 Folder = C:\Dokumente und Einstellungen\Klaus von Gierke\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,19 Gb Total Physical Memory | 0,72 Gb Available Physical Memory | 60,68% Memory free
3,42 Gb Paging File | 2,82 Gb Available in Paging File | 82,50% Paging File free
Paging file location(s): C:\pagefile.sys 0 0D:\pagefile.sys 0 0 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 16,96 Gb Total Space | 0,39 Gb Free Space | 2,31% Space Free | Partition Type: FAT32
Drive D: | 17,35 Gb Total Space | 13,07 Gb Free Space | 75,34% Space Free | Partition Type: FAT32

Computer Name: KVG_NOTEBOOK | User Name: Klaus von Gierke | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = Opera.HTML] -- C:\Programme\Opera\Opera.exe (Opera Software)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- C:\Programme\Opera\Opera.exe (Opera Software)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- Reg Error: Key error.
http [open] -- "C:\Programme\Opera\Opera.exe" "%1" (Opera Software)
https [open] -- "C:\Programme\Opera\Opera.exe" "%1" (Opera Software)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
"DisableMonitoring" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"427:TCP" = 427:TCP:LocalSubNet:Enabled:SLP_Port(427)_TCP
"427:UDP" = 427:UDP:LocalSubNet:Enabled:SLP_Port(427)_UDP

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"427:TCP" = 427:TCP:LocalSubNet:Enabled:SLP_Port(427)_TCP
"427:UDP" = 427:UDP:LocalSubNet:Enabled:SLP_Port(427)_UDP

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe" = C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe:*:Enabled:AOL
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe" = C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe:*:Enabled:AOL
"C:\Programme\AOL 9.0\waol.exe" = C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL 9.0
"E:\setup\hpznui01.exe" = E:\setup\hpznui01.exe:*:Enabled:hpznui01.exe
"C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe
"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe" = C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe" = C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe
"C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe" = C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe:*:Enabled:hpqgpc01.exe
"C:\Programme\HP\Digital Imaging\bin\hpqusgm.exe" = C:\Programme\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe
"C:\Programme\HP\Digital Imaging\bin\hpqusgh.exe" = C:\Programme\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe
"C:\Programme\HP\HP Software Update\hpwucli.exe" = C:\Programme\HP\HP Software Update\hpwucli.exe:*:Enabled:hpwucli.exe
"C:\Programme\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe" = C:\Programme\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe" = C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe:*:Enabled:AOL
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe" = C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe:*:Enabled:AOL
"C:\Programme\AOL 9.0\waol.exe" = C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL 9.0
"C:\WINDOWS\System32\usmt\migwiz.exe" = C:\WINDOWS\System32\usmt\migwiz.exe:*:Enabled:Assistent zum Übertragen von Dateien und Einstellungen -- (Microsoft Corporation)
"C:\Programme\EPSON Projector\Cinema Color Editor\CCEdit.exe" = C:\Programme\EPSON Projector\Cinema Color Editor\CCEdit.exe:*:Enabled:Cinema Color Editor
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe" = C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe:*:Enabled:NETGEAR WG111 Smart Wizard
"E:\setup\hpznui01.exe" = E:\setup\hpznui01.exe:*:Enabled:hpznui01.exe
"C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe
"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe" = C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe" = C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe
"C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe" = C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe:*:Enabled:hpqgpc01.exe
"C:\Programme\HP\Digital Imaging\bin\hpqusgm.exe" = C:\Programme\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe
"C:\Programme\HP\Digital Imaging\bin\hpqusgh.exe" = C:\Programme\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe
"C:\Programme\HP\HP Software Update\hpwucli.exe" = C:\Programme\HP\HP Software Update\hpwucli.exe:*:Enabled:hpwucli.exe
"C:\Programme\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe" = C:\Programme\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{06A1D88C-E102-4527-AF70-29FFD7AF215A}" = Scan
"{0840B4D6-7DD1-4187-8523-E6FC0007EFB7}" = Windows Live ID Sign-in Assistant
"{097CDB1E-07C9-40F1-9972-F0F9F3A287E4}" = Network
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 29
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java(TM) 6 Update 22
"{292F0F52-B62D-4E71-921B-89A682402201}" = Toolbox
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{565E7B0E-B76B-4EAD-9753-F1E72A5CF12E}" = HPAppStudio
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{59C83C08-63F4-4AEC-81D6-392C5E23B843}" = HP Photosmart Wireless B110 All-In-One Driver Software 14.0 Rel. 7
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6AA0C1E2-154C-4F29-B4B5-54CF4C0DF5D2}" = UBCam-PROVIX
"{8EE94FD8-5F52-4463-A340-185D16328158}" = WebReg
"{9F9A2D22-7E30-4546-B817-10644FFB9935}" = B110
"{A2AE9709-283B-4B48-AA34-729C070A62FB}" = NETGEAR WNA1100 N150 Wireless USB Adapter
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Deutsch
"{BDC88E5A-F47B-4314-AB38-994592E32C95}" = TRENDnet TEW-424UB
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E517094C-06B6-419F-8FFD-EF4F57972130}" = QuickTransfer
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F88E2E04-7EF5-488C-8E38-C94EB808458E}" = PS_AIO_07_B110_SW_Min
"{FA0FF682-CC70-4C57-93CD-E276F3E7537E}" = BufferChm
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Avira AntiVir Desktop" = Avira Free Antivirus
"Cleaning Suite_is1" = Cleaning Suite v2.1
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Thunderbird (3.1.11)" = Mozilla Thunderbird (3.1.11)
"Opera 11.62.1347" = Opera 11.62
"QuickStores-Toolbar_is1" = QuickStores-Toolbar 1.2.0
"TomTom HOME" = TomTom HOME 2.7.2.1825

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 30.04.2012 08:14:34 | Computer Name = KVG_NOTEBOOK | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk
mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier
Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.

Error - 30.04.2012 08:20:49 | Computer Name = KVG_NOTEBOOK | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk
mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier
Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.

Error - 30.04.2012 08:23:30 | Computer Name = KVG_NOTEBOOK | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk
mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier
Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.

Error - 30.04.2012 08:27:30 | Computer Name = KVG_NOTEBOOK | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk
mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier
Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.

Error - 30.04.2012 08:27:35 | Computer Name = KVG_NOTEBOOK | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk
mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier
Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.

Error - 30.04.2012 08:29:07 | Computer Name = KVG_NOTEBOOK | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk
mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier
Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.

Error - 30.04.2012 08:38:00 | Computer Name = KVG_NOTEBOOK | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk
mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier
Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.

Error - 30.04.2012 08:42:09 | Computer Name = KVG_NOTEBOOK | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk
mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier
Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.

Error - 30.04.2012 10:58:34 | Computer Name = KVG_NOTEBOOK | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk
mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier
Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.

Error - 30.04.2012 10:59:48 | Computer Name = KVG_NOTEBOOK | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk
mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier
Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.

[ System Events ]
Error - 30.04.2012 19:00:02 | Computer Name = KVG_NOTEBOOK | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 30.04.2012 19:00:23 | Computer Name = KVG_NOTEBOOK | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}

Error - 30.04.2012 19:01:07 | Computer Name = KVG_NOTEBOOK | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 02.05.2012 01:35:39 | Computer Name = KVG_NOTEBOOK | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.

Error - 02.05.2012 01:35:42 | Computer Name = KVG_NOTEBOOK | Source = Service Control Manager | ID = 7000
Description = Der Dienst "osaio" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 02.05.2012 01:35:42 | Computer Name = KVG_NOTEBOOK | Source = Service Control Manager | ID = 7000
Description = Der Dienst "osanbm" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 02.05.2012 01:35:42 | Computer Name = KVG_NOTEBOOK | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
beendet: %%5

Error - 02.05.2012 01:53:08 | Computer Name = KVG_NOTEBOOK | Source = SideBySide | ID = 16842784
Description = Abhängige Assemblierung "Microsoft.VC80.CRT" konnte nicht gefunden
werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer
installiert.

Error - 02.05.2012 01:53:09 | Computer Name = KVG_NOTEBOOK | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC80.CRT fehlgeschlagen.
Referenzfehlermeldung:
Die referenzierte Assemblierung ist nicht auf dem Computer installiert. .

Error - 02.05.2012 01:53:09 | Computer Name = KVG_NOTEBOOK | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für C:\Genius\ioCentre\gTaskBar.exe
fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. .


< End of report >

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hallo Arne,

vielen Dank für die schnelle Hilfe!

Hier die gewünschten log-Dateien:

Zitat:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.05.04.01

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 8.0.6001.18702
Klaus von Gierke :: KVG_NOTEBOOK [Administrator]

Schutz: Aktiviert

04.05.2012 11:30:11
mbam-log-2012-05-04 (14-17-31).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 234086
Laufzeit: 2 Stunde(n), 28 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCR\WUSN.1 (Adware.WhenU) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 8
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Klaus von Gierke\Anwendungsdaten\data.dat (Stolen.Data) -> Keine Aktion durchgeführt.

(Ende)

Zitat:

ESETSmartInstaller@High as downloader log:
all ok

Ich hoffe das hilft weiter.

Gruß
arnie

Zitat:

Keine Aktion durchgeführt.
-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Bei ESET wundert mich das Log, standen da wirklich nur diese beiden Zeilen drin?
ESET hat nichts gefunden?

Hallo Arne,

sorry, da gab es wohl Probleme mit der log-Datei. Ich hab Eset nochmals scannen lassen und das Ergebnis ist gleich. Es steht wohl etwas mehr in der log-Datei.

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=aaaedf659863ca4a9feab10172efa7f3
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-05 10:41:58
# local_time=2012-05-06 12:41:58 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 0 0 0 0
# compatibility_mode=2560 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 182 182 0 0
# scanned=54401
# found=0
# cleaned=0
# scan_time=5093

Gruß
arnie

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hallo Arne,

nein der normale Modus funktioniert nicht uneingeschränkt. Der Explorer zeigt keine Ordner an. Es werden nur die Laufwerke angezeigt. Wenn man diese öffnet ist alles leer. Im Startmenü funktionieren nur die Systemsteureung und die
"Ausführen" Funktion. In meinen Browser (Opera) komme ich nur über einen Trick. Ich starte das Setup für den "PC Tools Spyware Doctor" und bekomme eine Fehlermeldung. Dort gibt es einen Button "PC Tools Support" über den dann der Browser geöffnet wird. Es scheint also alles vorhanden zu sein, aber es wird nicht angezeigt. Sämtliche Verknüpfungen auf dem Desktop sind ebenfalls nicht sichtbar.
ich habe "malwarebytes" alle Funde entfernen lassen!

Gruß
arnie
P.s.: Bitte nicht wundern, dass ich mich nicht immer sofort melde da ich gerade im Urlaub bin

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Hallo Arne,

ja jetzt geht alles wiede wie vorher.

Vielen Dank für die Hilfe und einen sonnigen Gruß aus dem Urlaub
arnie

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread