Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Gesperrtes Windows und Zahlungsaufforderung

Gesperrtes Windows und Zahlungsaufforderung


Plagegeister aller Art und deren Bekämpfung: Gesperrtes Windows und Zahlungsaufforderung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 2 1 2
Alt 31.05.2012, 21:25   #16
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gesperrtes Windows und Zahlungsaufforderung - Standard

Gesperrtes Windows und Zahlungsaufforderung


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


Code:
ATTFilter
File::
c:\dokumente und einstellungen\Wolfgang\Startmenü\Programme\Autostart\k8h00.exe.lnk
c:\windows\system32\rundll32.exe
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.06.2012, 18:13   #17
Bremser
 
Gesperrtes Windows und Zahlungsaufforderung - Standard

Gesperrtes Windows und Zahlungsaufforderung


Hallo Arne

So, hier nun das Log file.
Nach einem Neustart wurde ich übrigens nicht gefragt


Combofix Logfile:
Code:
ATTFilter
ComboFix 12-05-31.02 - Admin 01.06.2012  18:51:03.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2039.1188 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Admin\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
FILE ::
"c:\dokumente und einstellungen\Wolfgang\Startmenü\Programme\Autostart\k8h00.exe.lnk"
"c:\windows\system32\rundll32.exe"
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-05-01 bis 2012-06-01  ))))))))))))))))))))))))))))))
.
.
2012-05-29 18:42 . 2012-05-30 18:07    --------    d-----w-    C:\_OTL
2012-05-22 17:34 . 2012-05-22 17:34    --------    d-----w-    c:\programme\ESET
2012-05-21 18:12 . 2012-05-21 18:12    --------    d-----w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2012-05-21 18:12 . 2012-05-21 18:12    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-05-21 18:12 . 2012-05-21 18:12    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2012-05-21 18:12 . 2012-04-04 13:56    22344    ----a-w-    c:\windows\system32\drivers\mbam.sys
2012-05-21 05:17 . 2012-05-21 05:17    --------    d-----w-    c:\programme\Uncompressor
2012-05-20 17:03 . 2012-05-20 17:03    --------    d--h--w-    c:\windows\PIF
2012-05-18 20:58 . 2012-05-18 20:58    --------    d-sh--w-    c:\dokumente und einstellungen\Stefanie\PrivacIE
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-08 19:27 . 2011-10-23 19:26    83392    ----a-w-    c:\windows\system32\drivers\avgntflt.sys
2012-05-08 19:27 . 2011-10-23 19:26    137928    ----a-w-    c:\windows\system32\drivers\avipbb.sys
2012-04-11 13:51 . 2008-04-14 07:30    2029056    ----a-w-    c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51 . 2010-03-02 07:58    1862400    ----a-w-    c:\windows\system32\win32k.sys
2012-04-11 13:51 . 2008-04-14 07:29    2150912    ----a-w-    c:\windows\system32\ntoskrnl.exe
2008-05-07 08:34 . 2009-03-02 08:49    15523560    ----a-w-    c:\programme\U1 Setup.exe
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-05-31_19.37.04   )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-06-01 16:40 . 2012-06-01 16:40    16384              c:\windows\Temp\Perflib_Perfdata_248.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]
@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"
[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]
2009-11-06 23:07    297808    ----a-w-    c:\windows\system32\mscoree.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]
@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"
[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]
2009-11-06 23:07    297808    ----a-w-    c:\windows\system32\mscoree.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"ETDWare"="c:\programme\Elantech\ETDCtrl.exe" [2009-01-23 416768]
"AsusTray"="c:\programme\EeePC\ACPI\AsTray.exe" [2008-12-04 114688]
"AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-17 622592]
"AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-21 94208]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="c:\eigene_programme\Nero 7\InCD\NBHGui.exe" [2007-06-25 1629480]
"InCD"="c:\eigene_programme\Nero 7\InCD\InCD.exe" [2007-06-25 1057064]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-06-25 518488]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"QuickTime Task"="c:\eigene_programme\Quicktime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\eigene_programme\iTunes\iTunesHelper.exe" [2011-04-14 421160]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
"RTHDCPL"="RTHDCPL.EXE" [2009-02-13 17508864]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-05-08 348624]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Wolfgang\Startmenü\Programme\Autostart\
k8h00.exe.lnk - c:\windows\system32\rundll32.exe [2010-3-2 33792]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\dokumente und einstellungen\Admin\Startmenü\Programme\Autostart\
ac'tivAid.lnk - c:\eigene_programme\ActivAid\ac'tivAid.ahk [2008-6-5 495612]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
Printkey2000.lnk - c:\eigene_programme\PrintKey2000\Printkey2000.exe [2009-5-22 794112]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Avira\\AntiVir Desktop\\avcenter.exe"=
"c:\\Eigene_Programme\\Rsync\\rsync.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Eigene_Programme\\iTunes\\iTunes.exe"=
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [25.06.2009 20:29 64160]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [23.10.2011 21:26 36000]
R2 AAV UpdateService;AAV UpdateService;c:\eigene_programme\Steuertipps\Steuer-Spar-Erklaerung 2012\AAVUpdateManager\aavus.exe [24.10.2008 17:35 128296]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.10.2011 21:26 86224]
R2 BBUpdate;BBUpdate;c:\programme\Microsoft\BingBar\SeaPort.EXE [13.10.2011 18:21 249648]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [09.03.2009 21:06 1003344]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [21.05.2012 20:12 654408]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [21.05.2012 20:12 22344]
S2 BBSvc;Bing Bar Update Service;c:\programme\Microsoft\BingBar\BBSvc.EXE [21.10.2011 16:23 196176]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [02.03.2009 10:42 1684736]
S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [02.03.2009 10:44 704384]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-06-09 08:14    451872    ----a-w-    c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-28 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 18:28]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = 
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-06-01 19:02
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2756)
c:\programme\ASUS\Eee Storage\XPClient.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchBar.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\MFC71U.DLL
c:\programme\Gemeinsame Dateien\Ahead\Lib\BCGCBPRO860un71.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2012-06-01  19:04:52
ComboFix-quarantined-files.txt  2012-06-01 17:04
ComboFix2.txt  2012-05-31 19:40
.
Vor Suchlauf: 8 Verzeichnis(se), 32.222.855.168 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 32.203.591.680 Bytes frei
.
- - End Of File - - 1A22A79CCB4F9A93BD79EA63F31479EC
--- --- ---



Viele Grüße und vielen Dank

Grüße
__________________
Alt 02.06.2012, 17:13   #18
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gesperrtes Windows und Zahlungsaufforderung - Standard

Gesperrtes Windows und Zahlungsaufforderung


Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.
__________________
__________________
Alt 04.06.2012, 20:25   #19
Bremser
 
Gesperrtes Windows und Zahlungsaufforderung - Standard

Gesperrtes Windows und Zahlungsaufforderung


Hallo Arne

Danke für deine Ausdauer und Hilfe.
Wie gewünscht, stelle ich dir die verschiedenen Log zur Verfügung.

GMER
[code]
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-06-04 06:25:11
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 ST916031 rev.0303
Running: i73phgsk.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\kwryraow.sys


---- System - GMER 1.0.15 ----

SSDT            A45C1464                                                                                                         ZwClose
SSDT            A45C141E                                                                                                         ZwCreateKey
SSDT            A45C146E                                                                                                         ZwCreateSection
SSDT            A45C1414                                                                                                         ZwCreateThread
SSDT            A45C1423                                                                                                         ZwDeleteKey
SSDT            A45C142D                                                                                                         ZwDeleteValueKey
SSDT            A45C145F                                                                                                         ZwDuplicateObject
SSDT            A45C1432                                                                                                         ZwLoadKey
SSDT            A45C1400                                                                                                         ZwOpenProcess
SSDT            A45C1405                                                                                                         ZwOpenThread
SSDT            A45C1487                                                                                                         ZwQueryValueKey
SSDT            A45C143C                                                                                                         ZwReplaceKey
SSDT            A45C1478                                                                                                         ZwRequestWaitReplyPort
SSDT            A45C1437                                                                                                         ZwRestoreKey
SSDT            A45C1473                                                                                                         ZwSetContextThread
SSDT            A45C147D                                                                                                         ZwSetSecurityObject
SSDT            A45C1428                                                                                                         ZwSetValueKey
SSDT            A45C1482                                                                                                         ZwSystemDebugControl
SSDT            A45C140F                                                                                                         ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwCallbackReturn + 2DC4                                                                             8050467C 2 Bytes  [00, 14]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2DDC                                                                             80504694 2 Bytes  [05, 14]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2F90                                                                             80504848 2 Bytes  [7D, 14] {JGE 0x16}

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!CreateDialogParamW                                   7E36EA3B 5 Bytes  JMP 03A1CDC0 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!DialogBoxParamW                                      7E3747AB 5 Bytes  JMP 03A1D120 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!SetWindowsHookExW                                    7E37820F 5 Bytes  JMP 41269AA5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!CallNextHookEx                                       7E37B3C6 5 Bytes  JMP 4125D119 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!CreateWindowExW                                      7E37D0A3 5 Bytes  JMP 4126DB14 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!UnhookWindowsHookEx                                  7E37D5F3 5 Bytes  JMP 411D4686 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!DialogBoxIndirectParamW                              7E382072 5 Bytes  JMP 413653AF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!MessageBoxIndirectA                                  7E38A082 5 Bytes  JMP 413652E1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!DialogBoxParamA                                      7E38B144 5 Bytes  JMP 03A1D030 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!CreateDialogParamA                                   7E38C7DB 5 Bytes  JMP 03A1CF40 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!MessageBoxA                                          7E3A07EA 5 Bytes  JMP 03A1D2A0 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!MessageBoxExW                                        7E3A0838 5 Bytes  JMP 413651B2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!MessageBoxExA                                        7E3A085C 5 Bytes  JMP 41365214 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!DialogBoxIndirectParamA                              7E3A6D7D 5 Bytes  JMP 41365412 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!TrackPopupMenu                                       7E3B531E 5 Bytes  JMP 03A1C0A0 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!MessageBoxIndirectW                                  7E3B64D5 5 Bytes  JMP 41365276 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!MessageBoxW                                          7E3B6534 5 Bytes  JMP 03A1D380 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[644] USER32.dll!TrackPopupMenuEx                                     7E3BCF62 5 Bytes  JMP 03A1C200 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[644] ole32.dll!CoCreateInstance                                      774CF1BC 5 Bytes  JMP 4126DB70 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[644] ole32.dll!OleLoadFromStream                                     774F983B 5 Bytes  JMP 41365717 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3512] ADVAPI32.dll!RegSetValueExW                                    77DAD767 7 Bytes  JMP 1015CBF0 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3512] ADVAPI32.dll!RegSetValueExA                                    77DAEAE7 7 Bytes  JMP 1015CB30 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3512] ADVAPI32.dll!RegSetValueA                                      77DCC79E 5 Bytes  JMP 1015C9B0 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3512] ADVAPI32.dll!RegSetValueW                                      77E06116 5 Bytes  JMP 1015CA70 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3512] USER32.dll!CreateDialogParamW                                  7E36EA3B 5 Bytes  JMP 1015CDC0 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3512] USER32.dll!DialogBoxParamW                                     7E3747AB 5 Bytes  JMP 1015D120 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3512] USER32.dll!CreateWindowExW                                     7E37D0A3 5 Bytes  JMP 4126DB14 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3512] USER32.dll!DialogBoxIndirectParamW                             7E382072 5 Bytes  JMP 413653AF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3512] USER32.dll!MessageBoxIndirectA                                 7E38A082 5 Bytes  JMP 413652E1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3512] USER32.dll!DialogBoxParamA                                     7E38B144 5 Bytes  JMP 1015D030 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3512] USER32.dll!CreateDialogParamA                                  7E38C7DB 5 Bytes  JMP 1015CF40 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3512] USER32.dll!MessageBoxA                                         7E3A07EA 5 Bytes  JMP 1015D2A0 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3512] USER32.dll!MessageBoxExW                                       7E3A0838 5 Bytes  JMP 413651B2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3512] USER32.dll!MessageBoxExA                                       7E3A085C 5 Bytes  JMP 41365214 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3512] USER32.dll!DialogBoxIndirectParamA                             7E3A6D7D 5 Bytes  JMP 41365412 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3512] USER32.dll!TrackPopupMenu                                      7E3B531E 5 Bytes  JMP 1015C0A0 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3512] USER32.dll!MessageBoxIndirectW                                 7E3B64D5 5 Bytes  JMP 41365276 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3512] USER32.dll!MessageBoxW                                         7E3B6534 5 Bytes  JMP 1015D380 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3512] USER32.dll!TrackPopupMenuEx                                    7E3BCF62 5 Bytes  JMP 1015C200 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!CreateDialogParamW                                  7E36EA3B 5 Bytes  JMP 040BCDC0 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!DialogBoxParamW                                     7E3747AB 5 Bytes  JMP 040BD120 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!SetWindowsHookExW                                   7E37820F 5 Bytes  JMP 41269AA5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!CallNextHookEx                                      7E37B3C6 5 Bytes  JMP 4125D119 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!CreateWindowExW                                     7E37D0A3 5 Bytes  JMP 4126DB14 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!UnhookWindowsHookEx                                 7E37D5F3 5 Bytes  JMP 411D4686 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!DialogBoxIndirectParamW                             7E382072 5 Bytes  JMP 413653AF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!MessageBoxIndirectA                                 7E38A082 5 Bytes  JMP 413652E1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!DialogBoxParamA                                     7E38B144 5 Bytes  JMP 040BD030 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!CreateDialogParamA                                  7E38C7DB 5 Bytes  JMP 040BCF40 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!MessageBoxA                                         7E3A07EA 5 Bytes  JMP 040BD2A0 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!MessageBoxExW                                       7E3A0838 5 Bytes  JMP 413651B2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!MessageBoxExA                                       7E3A085C 5 Bytes  JMP 41365214 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!DialogBoxIndirectParamA                             7E3A6D7D 5 Bytes  JMP 41365412 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!TrackPopupMenu                                      7E3B531E 5 Bytes  JMP 040BC0A0 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!MessageBoxIndirectW                                 7E3B64D5 5 Bytes  JMP 41365276 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!MessageBoxW                                         7E3B6534 5 Bytes  JMP 040BD380 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3820] USER32.dll!TrackPopupMenuEx                                    7E3BCF62 5 Bytes  JMP 040BC200 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\WiseConvert\tbWise.dll (Conduit Toolbar/Conduit Ltd.)
.text           C:\Programme\internet explorer\iexplore.exe[3820] ole32.dll!CoCreateInstance                                     774CF1BC 5 Bytes  JMP 4126DB70 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\internet explorer\iexplore.exe[3820] ole32.dll!OleLoadFromStream                                    774F983B 5 Bytes  JMP 41365717 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Programme\internet explorer\iexplore.exe[644] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]   [451F1ACB] C:\Programme\internet explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)
IAT             C:\Programme\internet explorer\iexplore.exe[3820] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]  [451F1ACB] C:\Programme\internet explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                        fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                        Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                         fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
--- --- ---


OSAM
Code:
ATTFilter
OSAM Logfile:


	
Code: 

 
ATTFilter


  

	
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:08:49 on 04.06.2012

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - ? - C:\WINDOWS\system32\lsdelete.exe  (File found, but it contains no detailed information)

[Common]
-----( %SystemRoot%\Tasks )-----
"Ad-Aware Update (Weekly).job" - "Lavasoft" - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira Operations GmbH & Co. KG" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Nero BurnRights" - "Nero AG" - C:\Eigene_Programme\Nero 7\Nero Toolkit\NeroBurnRights.cpl
"QuickTime" - "Apple Inc." - C:\Eigene_Programme\Quicktime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"avkmgr" (avkmgr) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avkmgr.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Admin\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"FssFltr" (fssfltr) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\fssfltr_tdi.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"InCD File System" (InCDfs) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDFs.sys
"InCD Reader" (incdrm) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDRm.sys
"InCDPass" (InCDPass) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDPass.sys
"InCDrec" (InCDrec) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDrec.sys
"Lbd" (Lbd) - "Lavasoft AB" - C:\WINDOWS\System32\DRIVERS\Lbd.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{10880D85-AAD9-4558-ABDC-2AB1552D831F} "LightScribe Control Panel" - "Hewlett-Packard Company" - "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{03C514A3-1EFB-4856-9F99-10D7BE1653C0} "Windows Live Mail HTML Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\Programme\Windows Live\Mail\mailcomm.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{b1b96b20-da1d-4a3c-92c1-7229b32f2325} "BackupContextMenuExtension" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\BTNEIG~1.DLL
{0563DB41-F538-4B37-A92D-4659049B7766} "CLSID_WLMCMimeFilter" - "Microsoft Corporation" - C:\Programme\Windows Live\Mail\mailcomm.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -   (File not found | COM-object registry key not found)
{d6044399-0b9e-4084-a9ac-c4b7c7800fcf} "Eee Storage" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{CAE3251E-9B15-4810-B268-852AD9792A59} "InCDShellExt Class" - "Nero AG" - C:\Eigene_Programme\Nero 7\InCD\InCDshx.dll
{B3D9AEDE-B2C3-406d-A254-6BE07767B08B} "InCDUdfPerm Class" - "Nero AG" - C:\Eigene_Programme\Nero 7\InCD\InCDUP.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Eigene_Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\ONFILTER.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\WINDOWS\system32\btncopy.dll
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Eigene_Programme\Nero 7\Nero CoverDesigner\CoverEdExtension.dll
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{1fae2d88-a78e-4f03-909f-be818a3c1ce6} "OverlayIconExtension2" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{fe25455d-b4c2-4e32-97d2-92632ec1c224} "XPClient.FileSystemBrowser.OverlayIconExtension1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - C:\Programme\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "WiseConvert Toolbar" - "Conduit Ltd." - C:\Programme\WiseConvert\prxtbWise.dll
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} "WiseConvert Toolbar" - "Conduit Ltd." - C:\Programme\WiseConvert\prxtbWise.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{7530BFB8-7293-4D34-9923-61A11451AFC5} "OnlineScanner Control" - "ESET" - C:\PROGRA~1\ESET\ESETON~1\ONLINE~1.OCX / hxxp://download.eset.com/special/eos/OnlineScanner.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@btrez.dll,-4015" - ? - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
{5F7B1267-94A9-47F5-98DB-E99415F33AEC} "In Blog veröffentlichen" - "Microsoft Corporation" - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
{77BF5300-1474-4EC7-9980-D32B190E9B07} "Skype" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{8dcb7100-df86-4384-8842-8fa844297b3f} "Bing Bar" - "Microsoft Corporation." - C:\Programme\Microsoft\BingBar\BingExt.dll
{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} "WiseConvert Toolbar" - "Conduit Ltd." - C:\Programme\WiseConvert\prxtbWise.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{d2ce3e00-f94a-4740-988e-03dc2f38c34f} "Bing Bar Helper" - "Microsoft Corporation." - C:\Programme\Microsoft\BingBar\BingExt.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{22BF413B-C6D2-4d91-82A9-A0F997BA588C} "Skype add-on (mastermind)" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} "WiseConvert Toolbar" - "Conduit Ltd." - C:\Programme\WiseConvert\prxtbWise.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"ac'tivAid.lnk" - ? - C:\Eigene_Programme\ActivAid\ac'tivAid.ahk  (Shortcut exists | File exists)
"OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\desktop.ini
"Printkey2000.lnk" - "Fred's Software" - C:\Eigene_Programme\PrintKey2000\Printkey2000.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"LightScribe Control Panel" - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Ad-Watch" - "Lavasoft" - C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
"AsusACPIServer" - "ASUSTeK Computer Inc." - C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
"AsusEPCMonitor" - "ASUSTeK Computer Inc." - C:\Programme\EeePC\ACPI\AsEPCMon.exe
"AsusTray" - "ASUSTeK Computer Inc." - C:\Programme\EeePC\ACPI\AsTray.exe
"avgnt" - "Avira Operations GmbH & Co. KG" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"CanonMyPrinter" - "CANON INC." - C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
"CanonSolutionMenu" - "CANON INC." - C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"InCD" - "Nero AG" - C:\Eigene_Programme\Nero 7\InCD\InCD.exe
"iTunesHelper" - "Apple Inc." - "C:\Eigene_Programme\iTunes\iTunesHelper.exe"
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"NeroFilterCheck" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"QuickTime Task" - "Apple Inc." - "C:\Eigene_Programme\Quicktime\QTTask.exe" -atboottime
"SecurDisc" - "Nero AG" - C:\Eigene_Programme\Nero 7\InCD\NBHGui.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"AAV UpdateService" (AAV UpdateService) - ? - C:\Eigene_Programme\Steuertipps\Steuer-Spar-Erklaerung 2012\AAVUpdateManager\aavus.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe
"Avira Echtzeit Scanner" (AntiVirService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira Planer" (AntiVirSchedulerService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"BBUpdate" (BBUpdate) - "Microsoft Corporation" - C:\Programme\Microsoft\BingBar\SeaPort.EXE
"Bing Bar Update Service" (BBSvc) - "Microsoft Corporation." - C:\Programme\Microsoft\BingBar\BBSvc.EXE
"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"InCD Helper" (InCDsrv) - "Nero AG" - C:\Eigene_Programme\Nero 7\InCD\InCDsrv.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Lavasoft Ad-Aware Service" (Lavasoft Ad-Aware Service) - "Lavasoft" - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
"LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"NBService" (NBService) - "Nero AG" - C:\Eigene_Programme\Nero 7\Nero BackItUp\NBService.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Live Family Safety" (fsssvc) - "Microsoft Corporation" - C:\Programme\Windows Live\Family Safety\fsssvc.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
 
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
Und last but not least aswMBR
Code:
ATTFilter
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-06-04 20:09:06
-----------------------------
20:09:06.093    OS Version: Windows 5.1.2600 Service Pack 3
20:09:06.093    Number of processors: 2 586 0x1C02
20:09:06.093    ComputerName: UNSERERSTER  UserName: Admin
20:09:06.875    Initialize success
20:27:23.250    AVAST engine defs: 12060400
20:38:36.265    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
20:38:36.265    Disk 0 Vendor: ST916031 0303 Size: 152627MB BusType: 3
20:38:36.312    Disk 0 MBR read successfully
20:38:36.328    Disk 0 MBR scan
20:38:36.515    Disk 0 Windows XP default MBR code
20:38:36.546    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        73793 MB offset 54
20:38:36.656    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        73787 MB offset 151129368
20:38:36.765    Disk 0 Partition 3 00     1C Hidd FAT32 LBA MSDOS5.0     5004 MB offset 302247180
20:38:36.812    Disk 0 Partition 4 00     EF      EFI FAT    A1192       39 MB offset 312497352
20:38:36.859    Disk 0 scanning sectors +312578244
20:38:36.984    Disk 0 scanning C:\WINDOWS\system32\drivers
20:38:52.953    Service scanning
20:39:18.453    Modules scanning
20:39:26.234    Disk 0 trace - called modules:
20:39:26.265    ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 
20:39:26.265    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a61bab8]
20:39:26.265    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x8a61c028]
20:39:26.906    AVAST engine scan C:\WINDOWS
20:40:00.828    AVAST engine scan C:\WINDOWS\system32
20:46:37.312    AVAST engine scan C:\WINDOWS\system32\drivers
20:47:00.140    AVAST engine scan C:\Dokumente und Einstellungen\Admin
20:50:38.140    AVAST engine scan C:\Dokumente und Einstellungen\All Users
20:52:01.656    Scan finished successfully
21:08:32.000    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Admin\Desktop\MBR.dat"
21:08:32.015    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Admin\Desktop\aswMBR.txt"
Abgestürzt ist keins der Programme.
Viele Grüße und vielen Dank !!!

Alt 04.06.2012, 21:27   #20
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gesperrtes Windows und Zahlungsaufforderung - Standard

Gesperrtes Windows und Zahlungsaufforderung


Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.06.2012, 05:46   #21
Bremser
 
Gesperrtes Windows und Zahlungsaufforderung - Standard

Gesperrtes Windows und Zahlungsaufforderung


Hallo Arne

Ich habe die beiden Programme laufen lassen.
Spyware meldet noch 2 kritische Elemente, die ich ohne Rücksprache aber erstmal nicht entfernen wollte.

Code:
ATTFilter
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.05.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: UNSERERSTER [Administrator]

05.06.2012 19:22:57
mbam-log-2012-06-05 (19-22-57).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 417316
Laufzeit: 1 Stunde(n), 51 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/06/2012 at 00:13 AM

Application Version : 5.0.1150

Core Rules Database Version : 8686
Trace Rules Database Version: 6498

Scan type       : Complete Scan
Total Scan Time : 02:42:36

Operating System Information
Windows XP Home Edition 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 587
Memory threats detected   : 0
Registry items scanned    : 35412
Registry threats detected : 0
File items scanned        : 100656
File threats detected     : 103

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@112.2o7[1].txt [ /112.2o7 ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@2o7[1].txt [ /2o7 ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@ad.71i[2].txt [ /ad.71i ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@ad.ad-srv[1].txt [ /ad.ad-srv ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@ad.trackbar[2].txt [ /ad.trackbar ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@ad2.doublepimp[1].txt [ /ad2.doublepimp ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@ads.glispa[2].txt [ /ads.glispa ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@ads.heias[1].txt [ /ads.heias ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@ads.planetactive[2].txt [ /ads.planetactive ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@ads.quartermedia[2].txt [ /ads.quartermedia ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@ads.sun[2].txt [ /ads.sun ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@adtech[1].txt [ /adtech ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@advertstream[2].txt [ /advertstream ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@atdmt[2].txt [ /atdmt ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@banner.slashcam[2].txt [ /banner.slashcam ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@banner.testberichte[1].txt [ /banner.testberichte ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@bluestreak[1].txt [ /bluestreak ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@bs.serving-sys[2].txt [ /bs.serving-sys ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@counter.hitslink[1].txt [ /counter.hitslink ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@de.at.atwola[1].txt [ /de.at.atwola ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@delivery.ads.coupling-media[2].txt [ /delivery.ads.coupling-media ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@eas.apm.emediate[1].txt [ /eas.apm.emediate ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@hitbox[2].txt [ /hitbox ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@imrworldwide[2].txt [ /imrworldwide ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@m1.webstats.motigo[2].txt [ /m1.webstats.motigo ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@media.intelia[2].txt [ /media.intelia ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@microsoftsto.112.2o7[1].txt [ /microsoftsto.112.2o7 ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@rts.pgmediaserve[1].txt [ /rts.pgmediaserve ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@s4.trafficmaxx[1].txt [ /s4.trafficmaxx ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@stat.onestat[2].txt [ /stat.onestat ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@statcounter[1].txt [ /statcounter ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@statse.webtrendslive[2].txt [ /statse.webtrendslive ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@uk.at.atwola[1].txt [ /uk.at.atwola ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@webmasterplan[1].txt [ /webmasterplan ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@windowsmedia[2].txt [ /windowsmedia ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@www.windowsmedia[2].txt [ /www.windowsmedia ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@zanox-affiliate[1].txt [ /zanox-affiliate ]
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@zbox.zanox[1].txt [ /zbox.zanox ]
	C:\Dokumente und Einstellungen\Admin\Cookies\D664NBEE.txt [ /ad3.adfarm1.adition.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\CK2UI8VE.txt [ /adfarm1.adition.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\KNE4MA8W.txt [ /atdmt.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\C9A2L217.txt [ /ad.zanox.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\E7UYXCMC.txt [ /zanox.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\CUUHAT3H.txt [ /doubleclick.net ]
	C:\Dokumente und Einstellungen\Admin\Cookies\M2XX96OZ.txt [ /kontera.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\IRT65Y4D.txt [ /invitemedia.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\HW14WWV7.txt [ /ads.pubmatic.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\IV5QZRSU.txt [ /collective-media.net ]
	C:\Dokumente und Einstellungen\Admin\Cookies\9ZUWTN8P.txt [ /www.googleadservices.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\5OQDZLDC.txt [ /imrworldwide.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\41QJZ0VM.txt [ /serving-sys.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\H2V121Y3.txt [ /www.googleadservices.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\2A6B5CYU.txt [ /fastclick.net ]
	C:\Dokumente und Einstellungen\Admin\Cookies\N4SVGTKR.txt [ /stats.ilivid.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\S0PRTO60.txt [ /mediaplex.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\U1ALR4KX.txt [ /ad2.adfarm1.adition.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\SWU00TTT.txt [ /www.googleadservices.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\OIPR9K5P.txt [ /tracking.mobile.de ]
	C:\Dokumente und Einstellungen\Admin\Cookies\MKUN6KN3.txt [ /bs.serving-sys.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\R5QJ3EMG.txt [ /apmebf.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\18Z2PR2P.txt [ /c.atdmt.com ]
	C:\Dokumente und Einstellungen\Admin\Cookies\9K57XDG9.txt [ /adtech.de ]
	C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\Cookies\ACGTMLG8.txt [ Cookie:admin@clkads.com/adServe/banners ]
	C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\Cookies\T1DN741S.txt [ Cookie:admin@clkads.com/adServe ]
	C:\DOKUMENTE UND EINSTELLUNGEN\LEONARD\Cookies\leonard@atdmt[2].txt [ Cookie:leonard@atdmt.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@track.adform[1].txt [ Cookie:stefanie@track.adform.net/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\J8OSQD94.txt [ Cookie:stefanie@adtech.de/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@tracking.quisma[1].txt [ Cookie:stefanie@tracking.quisma.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@ad2.adfarm1.adition[2].txt [ Cookie:stefanie@ad2.adfarm1.adition.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@adserv.quality-channel[1].txt [ Cookie:stefanie@adserv.quality-channel.de/RealMedia/ads/Creatives/qc/ON39XX5154XXPOL/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\TO8VVO86.txt [ Cookie:stefanie@doubleclick.net/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@ad4.adfarm1.adition[2].txt [ Cookie:stefanie@ad4.adfarm1.adition.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@www.googleadservices[1].txt [ Cookie:stefanie@www.googleadservices.com/pagead/conversion/1071701759/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@webmasterplan[2].txt [ Cookie:stefanie@webmasterplan.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@ad3.adfarm1.adition[2].txt [ Cookie:stefanie@ad3.adfarm1.adition.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@zanox-affiliate[2].txt [ Cookie:stefanie@zanox-affiliate.de/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@adserv.quality-channel[3].txt [ Cookie:stefanie@adserv.quality-channel.de/RealMedia/ads/Creatives/qc/ON39XX5154XXWIR/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@rts.pgmediaserve[1].txt [ Cookie:stefanie@rts.pgmediaserve.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@vodafonegroup.122.2o7[1].txt [ Cookie:stefanie@vodafonegroup.122.2o7.net/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@traffictrack[1].txt [ Cookie:stefanie@traffictrack.de/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\V7Z0JPV1.txt [ Cookie:stefanie@atdmt.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\KLGVKR3S.txt [ Cookie:stefanie@mediaplex.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@partypoker[2].txt [ Cookie:stefanie@partypoker.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@ad.adnet[1].txt [ Cookie:stefanie@ad.adnet.de/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@adfarm1.adition[1].txt [ Cookie:stefanie@adfarm1.adition.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@bs.serving-sys[1].txt [ Cookie:stefanie@bs.serving-sys.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@tracking.hannoversche[1].txt [ Cookie:stefanie@tracking.hannoversche.de/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@zanox[2].txt [ Cookie:stefanie@zanox.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\RYQALK9A.txt [ Cookie:stefanie@fl01.ct2.comclick.com/ ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\Cookies\stefanie@clickandbuy[1].txt [ Cookie:stefanie@clickandbuy.com/ ]
	serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\GFKSTN4F ]
	C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN_BACKUP\COOKIES\ADMIN_BACKUP@APMEBF[1].TXT [ /APMEBF ]
	C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN_BACKUP\COOKIES\ADMIN_BACKUP@ADVERTISING[1].TXT [ /ADVERTISING ]
	C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN_BACKUP\COOKIES\ADMIN_BACKUP@MSNPORTAL.112.2O7[1].TXT [ /MSNPORTAL.112.2O7 ]
	C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN_BACKUP\COOKIES\ADMIN_BACKUP@TRACKING.MINDSHARE[1].TXT [ /TRACKING.MINDSHARE ]
	C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN_BACKUP\COOKIES\ADMIN_BACKUP@ADTECH[1].TXT [ /ADTECH ]
	C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN_BACKUP\COOKIES\ADMIN_BACKUP@MEDIAPLEX[1].TXT [ /MEDIAPLEX ]
	C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN_BACKUP\COOKIES\ADMIN_BACKUP@ADFARM1.ADITION[2].TXT [ /ADFARM1.ADITION ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\COOKIES\STEFANIE@SERVING-SYS[1].TXT [ /SERVING-SYS ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\COOKIES\STEFANIE@AD.ZANOX[2].TXT [ /AD.ZANOX ]
	C:\DOKUMENTE UND EINSTELLUNGEN\STEFANIE\COOKIES\STEFANIE@TRADEDOUBLER[1].TXT [ /TRADEDOUBLER ]

Trojan.Agent/Gen-Nullo[Short]
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{3E29970F-CBF2-4F46-BBFC-2BBC18DB241D}\RP389\A0067786.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{3E29970F-CBF2-4F46-BBFC-2BBC18DB241D}\RP389\A0067787.EXE

Vielen Dank und Grüße

Alt 06.06.2012, 13:02   #22
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gesperrtes Windows und Zahlungsaufforderung - Standard

Gesperrtes Windows und Zahlungsaufforderung


In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.


Sieht ok aus, da wurden ansonsten nur Cookies gefunden.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.06.2012, 21:07   #23
Bremser
 
Gesperrtes Windows und Zahlungsaufforderung - Standard

Gesperrtes Windows und Zahlungsaufforderung


Hallo Arne

Vielen Dank für deine Hilfe und deine Tipps (die ich nun erstmal verstehen muß)

Gibt es im Board eine Gruppe/Verzeichnis/Thema welches für User wie mich auf einfache und verständliche Art erklärt, wie ich meinen Rechner wirksam schützen kann ?

Ich habe einige Programme gestartet / Verzeichnisse eingesehen / Dateien geöffnet. Alles scheint wie vorher zu funktionieren.

Dafür nochmals vielen Dank.
Ich werde mich erkenntlich zeigen und mit einer Spende eure Arbeit unterstützen !

Viele Grüße
Wolfgang

Alt 07.06.2012, 14:43   #24
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gesperrtes Windows und Zahlungsaufforderung - Standard

Gesperrtes Windows und Zahlungsaufforderung


Zitat:
verständliche Art erklärt, wie ich meinen Rechner wirksam schützen kann ?
Halte Dich am besten grob an diese Regeln:
  1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
  2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
  3. Führe regelmäßig Backups auf externe Medien durch
  4. Arbeite mit eingeschränkten Rechten
  5. Nutze sicherere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
  6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
  7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
  8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File
  9. Finger weg von: TuneUp, Registry-Cleanern aller Art, Softonic sowie illegalen Cracks/Keygens oder anderen "Tools" um ein kommerzielles Programm ohne Lizenz nutzen zu können
  10. dubiose Seiten bzw. Kinofilm-Streaming-Portale ebenfalls sein lassen, erstens handelt man sich dort schnell Malware ein oder kann in Abofallen geraten und zweitens bewegen sich diese Seiten in einer rechtlichen Grauzone.


Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?



Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort
Seite 2 von 2 1 2

Themen zu Gesperrtes Windows und Zahlungsaufforderung
account, admin, asus, daten, ebenfalls, eeepc, eingefangen, entsperrung, falsch, festplatte, gen, gesperrt, gestartet, herunterfahren, interne, internet, kurzzeitig, logdateien, platte, plötzlich, sperrung, taskmanager, trojaner, verändert, windows, windows xp gesperrt


« GEMA-Trojaner (Ukash) auf Windows Home Premium Notebook ohne Wiederherstellungspunkt) | Windows Verschlüsselungs Trojaner »


Ähnliche Themen: Gesperrtes Windows und Zahlungsaufforderung


  1. Netzwerkvirus-Langsamer-PC-unautorisiertes Netzwerkgerät-gesperrtes eigenes Lokales Konto
    Log-Analyse und Auswertung - 14.02.2015 (15)
  2. Windows 7 hp-Laptop hat nach Start von windows BKA Bildschirm mit 100 Euro Zahlungsaufforderung
    Log-Analyse und Auswertung - 06.06.2014 (9)
  3. Gesperrtes System_Trojaner Bundespolizei_Win7 32bit
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (29)
  4. Windows gesperrt! Zahlungsaufforderung
    Log-Analyse und Auswertung - 02.05.2012 (5)
  5. Windows Trojaner - Zahlungsaufforderung
    Plagegeister aller Art und deren Bekämpfung - 02.05.2012 (13)
  6. Windows gesperrt! Zahlungsaufforderung
    Log-Analyse und Auswertung - 30.03.2012 (7)
  7. windows security center - ukash zahlungsaufforderung - windows xp
    Plagegeister aller Art und deren Bekämpfung - 22.03.2012 (10)
  8. Windows gesperrt, Zahlungsaufforderung
    Log-Analyse und Auswertung - 08.02.2012 (18)
  9. Gesperrtes Windows, Zahle 50 € zum entsperren
    Log-Analyse und Auswertung - 07.02.2012 (4)
  10. Windows XP Zahlungsaufforderung
    Plagegeister aller Art und deren Bekämpfung - 23.01.2012 (19)
  11. Windows 7 blockiert - 50€ Zahlungsaufforderung
    Log-Analyse und Auswertung - 17.01.2012 (16)
  12. Windows blockiert, 50€ Zahlungsaufforderung
    Log-Analyse und Auswertung - 16.01.2012 (26)
  13. Windows gesperrt! Zahlungsaufforderung
    Log-Analyse und Auswertung - 27.12.2011 (5)
  14. Windows XP Systemsperrung mit Zahlungsaufforderung
    Plagegeister aller Art und deren Bekämpfung - 22.12.2011 (18)
  15. Windows gesperrt, Zahlungsaufforderung
    Log-Analyse und Auswertung - 17.12.2011 (3)
  16. Windows-Sperrung mit Zahlungsaufforderung
    Log-Analyse und Auswertung - 05.12.2011 (9)
  17. Windows mit Zahlungsaufforderung gesperrt!
    Log-Analyse und Auswertung - 14.11.2011 (22)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Gesperrtes Windows und Zahlungsaufforderung - Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Alles - Gesperrtes Windows und Zahlungsaufforderung...
Archiv
Du betrachtest: Gesperrtes Windows und Zahlungsaufforderung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55