BKA-Trojaner "GEMA / SUISA / GVU 2.03", Windows XP

cosmos_2000 · 24.07.2012, 15:20

Hallo liebes TB-Team,

ich benötige eure Hilfe, da ich mir den BKA-Trojaner eingefangen haben. Ich bin bisher folgendermassen vorgegangen:

- Von eingeschränktem Konto abgemeldet bzw. PC ausgeschaltet
- Auf Admin-Konto angemeldet (nicht abgesicherter Modus)
- Diverse Updates aufgespielt (u.a. Java)
- Scan mit Malwarebytes Anti-Malware (mbam) gemacht -> keine Funde, vgl. log 1 unten
- aufgrund vom Protection-Log scheint im Hintergrund etwas abzulaufen, vgl. log 2 unten
- Scan mit Free Antivirus -> Exploit gefunden: EXP/JAVA.Niabil.Gen, vgl. log 3 unten

Hoffentlich könnt ihr mich in der Säuberungsaktion unterstützen, mein Dank bereits im voraus.

In der Zwischenzeit versuche ich, wenn das eingeschränkte Nutzerkonto noch immer blockiert ist, dieses mittels Kaspersky WindowsUnlocker freizubekommen.

Log 1

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.24.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
N*** :: J**** [Administrator]

Schutz: Aktiviert

24.07.2012 15:13:57
mbam-log-2012-07-24 (15-13-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 315895
Laufzeit: 59 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Log 2

Code:

ATTFilter

2012/07/24 11:57:22 +0200	J***T	*****	MESSAGE	Starting protection
2012/07/24 11:57:30 +0200	J***T	*****	MESSAGE	Protection started successfully
2012/07/24 11:57:33 +0200	J***T	*****	MESSAGE	Starting IP protection
2012/07/24 11:57:41 +0200	J***T	*****	MESSAGE	IP Protection started successfully
2012/07/24 11:57:50 +0200	J***T	*****	MESSAGE	Executing scheduled update:  Daily
2012/07/24 11:57:51 +0200	J***T	*****	MESSAGE	Starting database refresh
2012/07/24 11:57:51 +0200	J***T	*****	MESSAGE	Stopping IP protection
2012/07/24 11:57:51 +0200	J***T	*****	MESSAGE	IP Protection stopped
2012/07/24 11:57:57 +0200	J***T	*****	MESSAGE	Database refreshed successfully
2012/07/24 11:57:57 +0200	J***T	*****	MESSAGE	Starting IP protection
2012/07/24 11:58:09 +0200	J***T	*****	MESSAGE	Scheduled update executed successfully:  database updated from version v2012.07.03.05 to version v2012.07.24.04
2012/07/24 11:58:11 +0200	J***T	*****	MESSAGE	IP Protection started successfully
2012/07/24 12:12:18 +0200	J***T	*****	IP-BLOCK	61.139.126.180 (Type: outgoing)
2012/07/24 12:41:46 +0200	J***T	*****	IP-BLOCK	58.240.138.121 (Type: outgoing)
2012/07/24 12:55:50 +0200	J***T	*****	IP-BLOCK	58.240.138.121 (Type: outgoing)
2012/07/24 13:10:46 +0200	J***T	*****	IP-BLOCK	93.174.95.139 (Type: outgoing)
2012/07/24 13:42:34 +0200	J***T	*****	IP-BLOCK	222.65.240.73 (Type: outgoing)
2012/07/24 13:42:55 +0200	J***T	*****	IP-BLOCK	222.71.86.244 (Type: outgoing)
2012/07/24 13:56:37 +0200	J***T	*****	IP-BLOCK	58.240.101.71 (Type: outgoing)
2012/07/24 13:57:04 +0200	J***T	*****	IP-BLOCK	95.209.114.91 (Type: outgoing)
2012/07/24 14:11:38 +0200	J***T	*****	IP-BLOCK	58.241.6.133 (Type: outgoing)
2012/07/24 14:42:34 +0200	J***T	*****	IP-BLOCK	222.69.94.39 (Type: outgoing)

Log 3

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 24. Juli 2012  13:29

Es wird nach 3921311 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : J***

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  08.05.2012 08:49:05
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 08:49:05
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 08:49:05
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  09.05.2012 18:10:36
AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 19:05:33
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 19:28:44
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 19:50:14
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 18:11:31
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 14:08:24
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 14:08:24
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 14:08:25
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 14:08:25
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 14:08:25
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 14:08:25
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 14:08:25
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 14:08:25
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 14:08:25
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 18:40:54
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 11:28:17
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 19:27:09
VBASE017.VDF   : 7.11.35.143   126464 Bytes  09.07.2012 18:40:35
VBASE018.VDF   : 7.11.35.235   151552 Bytes  12.07.2012 07:28:38
VBASE019.VDF   : 7.11.36.45    118784 Bytes  13.07.2012 10:35:01
VBASE020.VDF   : 7.11.36.107   123904 Bytes  16.07.2012 10:35:06
VBASE021.VDF   : 7.11.36.147   238592 Bytes  17.07.2012 10:35:08
VBASE022.VDF   : 7.11.36.209   135168 Bytes  19.07.2012 10:35:10
VBASE023.VDF   : 7.11.37.19    116224 Bytes  21.07.2012 10:35:11
VBASE024.VDF   : 7.11.37.79    149504 Bytes  23.07.2012 09:56:02
VBASE025.VDF   : 7.11.37.80      2048 Bytes  23.07.2012 09:56:11
VBASE026.VDF   : 7.11.37.81      2048 Bytes  23.07.2012 09:56:11
VBASE027.VDF   : 7.11.37.82      2048 Bytes  23.07.2012 09:56:11
VBASE028.VDF   : 7.11.37.83      2048 Bytes  23.07.2012 09:56:11
VBASE029.VDF   : 7.11.37.84      2048 Bytes  23.07.2012 09:56:12
VBASE030.VDF   : 7.11.37.85      2048 Bytes  23.07.2012 09:56:12
VBASE031.VDF   : 7.11.37.102    15872 Bytes  24.07.2012 09:56:12
Engineversion  : 8.2.10.118
AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 18:40:38
AESCRIPT.DLL   : 8.1.4.34      455035 Bytes  21.07.2012 10:37:12
AESCN.DLL      : 8.1.8.2       131444 Bytes  29.01.2012 07:42:29
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 19:29:31
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 21:16:06
AEPACK.DLL     : 8.3.0.16      807287 Bytes  21.07.2012 10:37:11
AEOFFICE.DLL   : 8.1.2.42      201083 Bytes  21.07.2012 10:37:10
AEHEUR.DLL     : 8.1.4.76     5063031 Bytes  21.07.2012 10:37:10
AEHELP.DLL     : 8.1.23.2      258422 Bytes  01.07.2012 14:08:28
AEGEN.DLL      : 8.1.5.34      434548 Bytes  21.07.2012 10:35:17
AEEXP.DLL      : 8.1.0.68       86389 Bytes  21.07.2012 10:37:12
AEEMU.DLL      : 8.1.3.2       393587 Bytes  11.07.2012 18:40:37
AECORE.DLL     : 8.1.27.2      201078 Bytes  11.07.2012 18:40:37
AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 21:46:01
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 08:49:04
AVPREF.DLL     : 12.3.0.15      51920 Bytes  08.05.2012 08:49:05
AVREP.DLL      : 12.3.0.15     179208 Bytes  09.05.2012 18:10:36
AVARKT.DLL     : 12.3.0.15     211408 Bytes  08.05.2012 08:49:05
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 08:49:05
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 08:49:06
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  08.05.2012 08:49:05
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 08:49:05
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  08.05.2012 08:49:05
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  08.05.2012 08:49:05

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 24. Juli 2012  13:29

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\drivers\mbamswissarmy.sys
c:\WINDOWS\system32\drivers\mbamswissarmy.sys
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MBAMSwissArmy
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-232220866-1415036043-1698194735-1008\Software\APN\Updater\homepageurl_lmd
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-232220866-1415036043-1698194735-1008\Software\APN\Updater\homepageurl_lmd
HKEY_USERS\S-1-5-21-232220866-1415036043-1698194735-1008\Software\APN\Updater\homepageurl_lmd

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'sua.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSI_TRAY.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIA.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'uTorrent.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '124' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpcmpmgr.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'point32.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'type32.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '131' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '178' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2899' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\Dokumente und Einstellungen\N***\Anwendungsdaten\Apple Computer\iTunes\Mobile Backups\82947C7S3NP\Structured\Snapshot\77e58f8cd06afb11fe2afbfd1a9a267888ccc32a
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Dokumente und Einstellungen\N****\Anwendungsdaten\Apple Computer\MobileSync\Backup\cc0e0f9637bd5cadf2e163b9fe65fa567832eb88\77e58f8cd06afb11fe2afbfd1a9a267888ccc32a
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Dokumente und Einstellungen\N****\Anwendungsdaten\Apple Computer\MobileSync\Backup\cc0e0f9637bd5cadf2e163b9fe65fa567832eb88-20120526-160055\77e58f8cd06afb11fe2afbfd1a9a267888ccc32a
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Dokumente und Einstellungen\N****1\Anwendungsdaten\Apple Computer\MobileSync\Backup\cc0e0f9637bd5cadf2e163b9fe65fa567832eb88\77e58f8cd06afb11fe2afbfd1a9a267888ccc32a.mddata
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Dokumente und Einstellungen\N****1\Eigene Dateien\Downloads\avira_free_antivirus_de(1).exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\N****1\Eigene Dateien\Downloads\avira_free_antivirus_de.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\N****1\Eigene Dateien\Downloads\Firefox Setup 8.0.1.exe.part
  --> Object
      [WARNUNG]   Die Datei konnte nicht gelesen werden!
  [WARNUNG]   Die Datei konnte nicht gelesen werden!
C:\Dokumente und Einstellungen\N****1\Lokale Einstellungen\Temp\jar_cache6311946195105140663.tmp
  [0] Archivtyp: ZIP
  --> pv.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Niabil.Gen
C:\Programme\RealMedia\uninstall.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
Beginne mit der Suche in 'D:\' <DATEN>
D:\Dateien von N***\Downloads\avira_free_antivirus_de.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\N****\Lokale Einstellungen\Temp\jar_cache6311946195105140663.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Niabil.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '546e3c2c.qua' verschoben!


Ende des Suchlaufs: Dienstag, 24. Juli 2012  14:42
Benötigte Zeit:  1:02:17 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  10821 Verzeichnisse wurden überprüft
 468141 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 468140 Dateien ohne Befall
   2552 Archive wurden durchsucht
     10 Warnungen
      4 Hinweise
 433827 Objekte wurden beim Rootkitscan durchsucht
      5 Versteckte Objekte wurden gefunden

t'john · 25.07.2012, 01:55

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

cosmos_2000 · 25.07.2012, 08:18

Hi t'john
Danke für den schnellen Support.

Anbei das Log-File:

Code:

ATTFilter

OTL logfile created on: 25.07.2012 09:02:47 - Run 3
OTL by OldTimer - Version 3.2.54.1     Folder = D:\Dateien von *******\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
 
1022.42 Mb Total Physical Memory | 244.43 Mb Available Physical Memory | 23.91% Memory free
2.40 Gb Paging File | 1.66 Gb Available in Paging File | 68.94% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48.84 Gb Total Space | 14.88 Gb Free Space | 30.46% Space Free | Partition Type: NTFS
Drive D: | 183.96 Gb Total Space | 175.64 Gb Free Space | 95.47% Space Free | Partition Type: FAT32
Drive X: | 269.01 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: J******* | User Name: ******* | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - D:\Dateien von *******\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Programme\Secunia\PSI\psia.exe (Secunia)
PRC - C:\Programme\Secunia\PSI\sua.exe (Secunia)
PRC - C:\Programme\Secunia\PSI\psi_tray.exe (Secunia)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Ask.com\Updater\Updater.exe (Ask)
PRC - C:\Programme\uTorrent\uTorrent.exe (BitTorrent, Inc.)
PRC - C:\Programme\PDF24\pdf24.exe (Geek Software GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
PRC - C:\Programme\HP\HP Software Update\hpwuSchd.exe (Hewlett-Packard)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU ()
MOD - C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll ()
MOD - C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll ()
MOD - C:\WINDOWS\system32\msdmo.dll ()
MOD - C:\WINDOWS\system32\nvapi.dll ()
MOD - C:\WINDOWS\system32\DELS1LMK.DLL ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (Secunia PSI Agent) -- C:\Programme\Secunia\PSI\psia.exe (Secunia)
SRV - (Secunia Update Agent) -- C:\Programme\Secunia\PSI\sua.exe (Secunia)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (p2pgasvc) -- C:\WINDOWS\system32\p2pgasvc.dll (Microsoft Corporation)
SRV - (Iprip) -- C:\WINDOWS\system32\iprip.dll (Microsoft Corporation)
SRV - (LightScribeService) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\hpzipm12.exe (HP)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (RimUsb) -- System32\Drivers\RimUsb.sys File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (MBAMProtector) -- C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (PSI) -- C:\WINDOWS\system32\drivers\psi_mf.sys (Secunia)
DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira GmbH)
DRV - (RTL8192cu) -- C:\WINDOWS\system32\drivers\RTL8192cu.sys (Realtek Semiconductor Corporation                           )
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (AFS2K) -- C:\WINDOWS\System32\drivers\AFS2K.SYS (Oak Technology Inc.)
DRV - (JRAID) -- C:\WINDOWS\system32\drivers\jraid.sys (JMicron Technology Corp.)
DRV - (IntcAzAudAddService) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (xfilt) -- C:\WINDOWS\system32\drivers\xfilt.sys (VIA Technologies,Inc)
DRV - (videX32) -- C:\WINDOWS\system32\drivers\videX32.sys (VIA Technologies, Inc.)
DRV - (JGOGO) -- C:\WINDOWS\system32\drivers\JGOGO.sys (JMicron )
DRV - (CnxTrUsb) -- C:\WINDOWS\system32\drivers\CnxTrUsb.sys (Conexant)
DRV - (CnxTrLan) -- C:\WINDOWS\system32\drivers\CnxTrLan.sys (Conexant)
DRV - (MRENDIS5) -- C:\Programme\Common Files\Motive\MRENDIS5.sys (Motive, Inc.)
DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://www.search.ch
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.search.ch
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://upc-cablecom.ch/
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://ch.msn.com/default.aspx
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-ch
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 48 FD 5C 2B 77 BC CA 01  [binary data]
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\URLSearchHook: {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Programme\uTorrentBar_DE\prxtbuTor.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\SearchScopes,DefaultScope = {F6BA70A2-BB0D-4126-8700-645F089CAC9B}
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851647
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\SearchScopes\{D9466A61-3501-45EC-AF2C-39697BE68C42}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=760A5ECE-650B-46B1-8F87-C9169521B30F&apn_sauid=874B25CC-DD0F-4A10-90D2-38E0572C18AA
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\SearchScopes\{F6BA70A2-BB0D-4126-8700-645F089CAC9B}: "URL" = hxxp://www.google.ch/search?hl=de&source=hp&q={searchTerms}&meta=&aq=f&oq=
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.ch/firefox/"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.6
FF - prefs.js..extensions.enabledItems: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}:20110323
FF - prefs.js..extensions.enabledItems: {9d1f059c-cada-4111-9696-41a62d64e3ba}:0.5.3.4
FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198
FF - prefs.js..extensions.enabledItems: smarterwiki@wikiatic.com:4.3.5
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.6
FF - prefs.js..extensions.enabledItems: optimizegoogle@optimizegoogle.com:0.78.2
FF - prefs.js..extensions.enabledItems: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3}:1.49
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: clickclean@hotcleaner.com:3.6.5.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..keyword.URL: "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=&locale=&apn_uid=760A5ECE-650B-46B1-8F87-C9169521B30F&apn_ptnrs=9M&apn_sauid=874B25CC-DD0F-4A10-90D2-38E0572C18AA&apn_dtid=OSJ000&&q="
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_265.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.5.1: C:\WINDOWS\system32\npdeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.5.1: C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@RIM.com/WebSLLauncher,version=1.0: C:\Programme\Gemeinsame Dateien\Research In Motion\BBWebSLLauncher\NPWebSLLauncher.dll ()
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.07.24 12:32:24 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.07.24 12:32:24 | 000,000,000 | ---D | M]
 
[2010.03.06 19:47:17 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Extensions
[2012.07.24 11:59:25 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\cwrxxa29.default\extensions
[2012.06.26 20:55:54 | 000,000,000 | ---D | M] (FoxTrick) -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\cwrxxa29.default\extensions\{9d1f059c-cada-4111-9696-41a62d64e3ba}
[2012.05.20 23:53:20 | 000,000,000 | ---D | M] (WOT) -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\cwrxxa29.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
[2012.04.03 18:16:44 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\cwrxxa29.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2012.07.21 14:57:28 | 000,000,000 | ---D | M] (uTorrentBar_DE Community Toolbar) -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\cwrxxa29.default\extensions\{c840e246-6b95-475e-9bd7-caa1c7eca9f2}
[2012.02.17 18:01:28 | 000,000,000 | ---D | M] (Click&amp;Clean) -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\cwrxxa29.default\extensions\clickclean@hotcleaner.com
[2011.07.14 23:43:19 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\cwrxxa29.default\extensions\engine@conduit.com
[2012.07.24 11:59:39 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\cwrxxa29.default\extensions\toolbar@ask.com
[2012.07.24 11:59:39 | 000,002,299 | ---- | M] () -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\cwrxxa29.default\searchplugins\askcom.xml
[2010.03.08 23:43:55 | 000,002,313 | ---- | M] () -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\cwrxxa29.default\searchplugins\downloadhelper-safe-videos.xml
[2012.04.29 20:39:57 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.03.06 22:27:15 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2012.01.25 21:40:05 | 000,138,614 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\*******\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\CWRXXA29.DEFAULT\EXTENSIONS\{D40F5E7B-D2CF-4856-B441-CC613EEFFBE3}.XPI
[2011.11.15 22:08:45 | 000,236,088 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\*******\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\CWRXXA29.DEFAULT\EXTENSIONS\OPTIMIZEGOOGLE@OPTIMIZEGOOGLE.COM.XPI
[2012.03.01 14:12:17 | 000,325,600 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\*******\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\CWRXXA29.DEFAULT\EXTENSIONS\SMARTERWIKI@WIKIATIC.COM.XPI
[2012.07.03 20:42:01 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.07.03 20:41:53 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.07.03 20:41:53 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.07.03 20:41:53 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.07.03 20:41:53 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.07.03 20:41:53 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.07.03 20:41:53 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider: Google ()
CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}sourceid=chrome&ie={inputEncoding}&q={searchTerms}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?client=chrome&hl={language}&q={searchTerms}
CHR - homepage: hxxp://www.google.com/
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (uTorrentBar_DE Toolbar) - {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Programme\uTorrentBar_DE\prxtbuTor.dll (Conduit Ltd.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (uTorrentBar_DE Toolbar) - {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Programme\uTorrentBar_DE\prxtbuTor.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\Toolbar\WebBrowser: (uTorrentBar_DE Toolbar) - {C840E246-6B95-475E-9BD7-CAA1C7ECA9F2} - C:\Programme\uTorrentBar_DE\prxtbuTor.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe (Apple Inc.)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [DXDllRegExe] dxdllreg.exe File not found
O4 - HKLM..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd.exe (Hewlett-Packard)
O4 - HKLM..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe (JMicron Technology Corp.)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [PDFPrint] C:\Programme\PDF24\pdf24.exe (Geek Software GmbH)
O4 - HKU\S-1-5-21-232220866-1415036043-1698194735-1008..\Run: [uTorrent] C:\Programme\uTorrent\uTorrent.exe (BitTorrent, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Office XP\Office10\OSA.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Secunia PSI Tray.lnk = C:\Programme\Secunia\PSI\psi_tray.exe (Secunia)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Office XP\Office10\EXCEL.EXE (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1267800635875 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Java Plug-in 1.7.0_05)
O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Java Plug-in 1.7.0_05)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Java Plug-in 1.7.0_05)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 62.2.17.60 62.2.24.162 62.2.17.61 62.2.24.158
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1B88294D-7058-4570-B152-5172CE799400}: DhcpNameServer = 62.2.17.60 62.2.24.162 62.2.17.61 62.2.24.158
O18 - Protocol\Handler\cetihpz {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll (Hewlett-Packard Company)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
O22 - SharedTaskScheduler: {1984DD45-52CF-49cd-AB77-18F378FEA264} - FencesShellExt - C:\Programme\Stardock\Fences\FencesMenu.dll (Stardock)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.11.17 16:27:11 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.07.24 21:42:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SpywareBlaster
[2012.07.24 21:42:31 | 000,000,000 | ---D | C] -- C:\Programme\SpywareBlaster
[2012.07.24 20:28:15 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2012.07.24 14:38:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2012.07.24 12:48:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\iTunes
[2012.07.24 12:46:22 | 000,000,000 | ---D | C] -- C:\Programme\iPod
[2012.07.24 12:46:02 | 000,000,000 | ---D | C] -- C:\Programme\iTunes
[2012.07.24 12:32:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\QuickTime
[2012.07.24 12:31:59 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2012.07.24 12:18:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\Secunia PSI
[2012.07.24 12:18:33 | 000,000,000 | ---D | C] -- C:\Programme\Secunia
[2012.07.24 11:59:26 | 000,000,000 | ---D | C] -- C:\Programme\Ask.com
[2012.07.24 11:59:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\AskToolbar
[2012.07.24 11:57:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Malwarebytes
[2012.07.24 11:56:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.07.24 11:56:53 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.07.24 11:56:53 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.07.24 11:56:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.07.24 11:49:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
[2012.07.24 11:48:40 | 000,000,000 | ---D | C] -- C:\Programme\Oracle
[2012.07.24 11:48:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Oracle
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.07.25 09:04:00 | 000,000,228 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2012.07.25 08:38:49 | 000,088,566 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012.07.25 08:38:36 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.07.25 08:38:27 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.07.24 21:42:33 | 000,000,732 | ---- | M] () -- C:\Dokumente und Einstellungen\*******\Desktop\SpywareBlaster.lnk
[2012.07.24 21:27:01 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.07.24 21:14:03 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.07.24 19:40:37 | 000,000,460 | -H-- | M] () -- C:\WINDOWS\tasks\Norton Security Scan for *******.job
[2012.07.24 12:48:01 | 000,001,528 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2012.07.24 12:32:16 | 000,001,590 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk
[2012.07.24 12:18:39 | 000,000,731 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Secunia PSI Tray.lnk
[2012.07.24 11:56:55 | 000,000,762 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.21 14:56:43 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.07.12 10:03:39 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.07.12 09:57:35 | 000,134,072 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.07.02 19:41:00 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.07.24 21:42:33 | 000,000,732 | ---- | C] () -- C:\Dokumente und Einstellungen\*******\Desktop\SpywareBlaster.lnk
[2012.07.24 12:48:01 | 000,001,528 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2012.07.24 12:32:15 | 000,001,590 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk
[2012.07.24 12:18:39 | 000,000,731 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Secunia PSI Tray.lnk
[2012.07.24 12:18:39 | 000,000,694 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Secunia PSI.lnk
[2012.07.24 11:59:33 | 000,000,228 | ---- | C] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2012.07.24 11:56:55 | 000,000,762 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.02.17 12:51:00 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2010.03.29 21:58:29 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.03.07 10:18:56 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.12.29 23:56:41 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
 
========== LOP Check ==========
 
[2012.07.24 11:49:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
[2010.03.29 21:55:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Deskshare
[2011.10.01 21:44:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\m2backup
[2011.10.01 21:44:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mquadr.at
[2011.02.23 20:53:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Research In Motion
[2010.04.15 19:05:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2010.02.27 20:59:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zoom Player
[2010.04.18 20:22:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2011.10.01 21:31:02 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{61B1758E-0982-4EB4-B321-05E55D1E8EE5}
[2011.10.01 21:44:48 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{64300630-5B75-49F3-904F-EA6A0C434430}
[2010.03.06 21:13:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2011.09.26 20:53:34 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A3A26C56-02C3-4F76-A033-12EE2FB52AE6}
[2010.03.06 20:54:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Blackberry Desktop
[2010.07.18 21:32:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Information Factory
[2011.10.01 21:44:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\mquadr.at
[2012.07.24 11:48:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Oracle
[2011.09.17 09:56:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\redsn0w
[2010.03.06 20:48:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Research In Motion
[2010.03.27 22:29:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\SharePod
[2011.09.26 20:53:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Stardock
[2012.07.25 08:59:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\uTorrent
[2011.11.15 09:07:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******1\Anwendungsdaten\PriceGong
[2012.02.26 17:42:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******1\Anwendungsdaten\redsn0w
[2010.04.07 21:18:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******1\Anwendungsdaten\Research In Motion
[2011.09.26 21:19:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******1\Anwendungsdaten\Stardock
[2011.10.01 23:41:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******1\Anwendungsdaten\uTorrent
[2012.07.25 09:04:00 | 000,000,228 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2011.04.25 13:35:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Adobe
[2012.05.26 09:30:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Apple Computer
[2011.10.23 10:38:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Avira
[2010.03.06 20:54:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Blackberry Desktop
[2010.03.13 21:19:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Google
[2010.03.01 16:54:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Identities
[2010.07.18 21:32:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Information Factory
[2010.03.05 16:50:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Macromedia
[2012.07.24 11:57:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Malwarebytes
[2011.10.01 21:31:20 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Microsoft
[2010.03.06 19:47:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla
[2011.10.01 21:44:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\mquadr.at
[2012.07.24 11:48:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Oracle
[2011.09.17 09:56:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\redsn0w
[2010.03.06 20:48:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Research In Motion
[2010.03.27 22:29:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\SharePod
[2012.07.25 08:41:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Skype
[2012.07.25 08:39:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\skypePM
[2011.09.26 20:53:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Stardock
[2010.03.13 18:33:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Sun
[2012.07.25 08:59:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\uTorrent
 
< %APPDATA%\*.exe /s >
[2010.12.07 01:02:38 | 002,959,376 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Research In Motion\BlackBerry\Updates\A8688F7E-E53B-47b6-B5DF-21BF25A302B0\dotnetfx35setup.exe
[2011.02.23 20:49:54 | 110,507,352 | ---- | M] () -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Research In Motion\BlackBerry\Updates\A8688F7E-E53B-47b6-B5DF-21BF25A302B0\Extractor.exe
[2010.12.07 01:02:38 | 000,128,472 | ---- | M] (Macrovision Corporation) -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Research In Motion\BlackBerry\Updates\A8688F7E-E53B-47b6-B5DF-21BF25A302B0\Helper.exe
[2010.12.07 01:02:38 | 001,821,192 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Research In Motion\BlackBerry\Updates\A8688F7E-E53B-47b6-B5DF-21BF25A302B0\vcredist_x86.exe
[2010.12.07 01:02:38 | 000,419,160 | ---- | M] (Research In Motion Limited) -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Research In Motion\BlackBerry\Updates\A8688F7E-E53B-47b6-B5DF-21BF25A302B0\InstallerUtils\InstallerUtils.exe
[2010.11.24 23:51:53 | 000,884,512 | ---- | M] (Sun Microsystems, Inc.) -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Sun\Java\JRERunOnce.exe
 
< %SYSTEMDRIVE%\*.exe >
 
< MD5 for: AGP440.SYS  >
[2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2008.09.13 21:26:31 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2008.09.13 21:26:31 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2008.09.13 21:26:31 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008.09.13 21:26:31 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004.08.04 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
[2004.08.04 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0013\DriverFiles\i386\atapi.sys
[2004.08.04 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0014\DriverFiles\i386\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2004.08.04 14:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2004.08.04 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2004.08.04 14:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< MD5 for: USER32.DLL  >
[2005.03.02 20:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\$NtUninstallKB925902$\user32.dll
[2007.03.08 17:36:30 | 000,579,072 | ---- | M] (Microsoft Corporation) MD5=492E166CFD26A50FB9160DB536FF7D2B -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll
[2005.03.02 20:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
[2004.08.04 14:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtUninstallKB890859$\user32.dll
[2007.03.08 17:48:39 | 000,579,584 | ---- | M] (Microsoft Corporation) MD5=78785EFF8CB90CEC1862A4CCFD9A3C3A -- C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.04 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2012.07.03 13:46:42 | 000,217,672 | ---- | M] () MD5=8A7F34F0BBD076EC3815680A7309114F -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2006.11.17 08:16:24 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2006.11.17 08:16:24 | 000,638,976 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2006.11.17 08:16:24 | 000,458,752 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[7 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:66B13F37
@Alternate Data Stream - 122 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:6152D44C

< End of report >

Bin gespannte wie's weitergeht.

Grüsse

t'john · 25.07.2012, 16:27

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Ersetze die *** Sternchen wieder in den Benutzernamen zurück!
Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

ATTFilter

:Processes
killallprocesses
 
:OTL
PRC - C:\Programme\Ask.com\Updater\Updater.exe (Ask) 
SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found 
DRV - (WDICA) -- File not found 
DRV - (RimUsb) -- System32\Drivers\RimUsb.sys File not found 
DRV - (PDRFRAME) -- File not found 
DRV - (PDRELI) -- File not found 
DRV - (PDFRAME) -- File not found 
DRV - (PDCOMP) -- File not found 
DRV - (PCIDump) -- File not found 
DRV - (lbrtfdc) -- File not found 
DRV - (i2omgmt) -- File not found 
DRV - (Changer) -- File not found 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search.ch 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) 
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\URLSearchHook: {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Programme\uTorrentBar_DE\prxtbuTor.dll (Conduit Ltd.) 
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\SearchScopes,DefaultScope = {F6BA70A2-BB0D-4126-8700-645F089CAC9B} 
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC 
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851647 
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\SearchScopes\{D9466A61-3501-45EC-AF2C-39697BE68C42}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=760A5ECE-650B-46B1-8F87-C9169521B30F&apn_sauid=874B25CC-DD0F-4A10-90D2-38E0572C18AA 
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\SearchScopes\{F6BA70A2-BB0D-4126-8700-645F089CAC9B}: "URL" = http://www.google.ch/search?hl=de&source=hp&q={searchTerms}&meta=&aq=f&oq= 
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local 
FF - prefs.js..browser.search.defaultengine: "Ask.com" 
FF - prefs.js..browser.search.defaultenginename: "Ask.com" 
FF - prefs.js..browser.search.order.1: "Ask.com" 
FF - prefs.js..browser.search.selectedEngine: "Ask.com" 
FF - prefs.js..browser.search.useDBForOrder: true 
FF - prefs.js..browser.startup.homepage: "http://www.google.ch/firefox/" 
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.6 
FF - prefs.js..extensions.enabledItems: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}:20110323 
FF - prefs.js..extensions.enabledItems: {9d1f059c-cada-4111-9696-41a62d64e3ba}:0.5.3.4 
FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198 
FF - prefs.js..extensions.enabledItems: smarterwiki@wikiatic.com:4.3.5 
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.6 
FF - prefs.js..extensions.enabledItems: optimizegoogle@optimizegoogle.com:0.78.2 
FF - prefs.js..extensions.enabledItems: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3}:1.49 
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 
FF - prefs.js..extensions.enabledItems: clickclean@hotcleaner.com:3.6.5.0 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 
FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=&locale=&apn_uid=760A5ECE-650B-46B1-8F87-C9169521B30F&apn_ptnrs=9M&apn_sauid=874B25CC-DD0F-4A10-90D2-38E0572C18AA&apn_dtid=OSJ000&&q=" 
FF - user.js - File not found 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found 
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) 
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) 
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) 
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) 
O2 - BHO: (uTorrentBar_DE Toolbar) - {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Programme\uTorrentBar_DE\prxtbuTor.dll (Conduit Ltd.) 
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) 
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) 
O3 - HKLM\..\Toolbar: (uTorrentBar_DE Toolbar) - {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Programme\uTorrentBar_DE\prxtbuTor.dll (Conduit Ltd.) 
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) 
O3 - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\Toolbar\WebBrowser: (uTorrentBar_DE Toolbar) - {C840E246-6B95-475E-9BD7-CAA1C7ECA9F2} - C:\Programme\uTorrentBar_DE\prxtbuTor.dll (Conduit Ltd.) 
O3 - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) 
O4 - HKLM..\Run: [] File not found 
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask) 
O4 - HKLM..\Run: [DXDllRegExe] dxdllreg.exe File not found 
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-21-232220866-1415036043-1698194735-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) 
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2006.11.17 16:27:11 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
 
@Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:66B13F37 
@Alternate Data Stream - 122 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:6152D44C 
[2012.07.24 11:59:26 | 000,000,000 | ---D | C] -- C:\Programme\Ask.com 
[2012.07.24 11:59:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\AskToolbar 
[2012.07.24 11:59:33 | 000,000,228 | ---- | C] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job 
 
[2012.07.25 08:38:36 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job 
[2012.07.25 08:39:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\skypePM 
[2012.07.24 21:27:01 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job 
[2012.07.24 21:14:03 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job 
[2012.07.24 19:40:37 | 000,000,460 | -H-- | M] () -- C:\WINDOWS\tasks\Norton Security Scan for *******.job 
 
:Files
 
C:\AUTOEXEC.BAT 
 
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

cosmos_2000 · 26.07.2012, 08:19

Hoi t'john

Habe Deine Anweisungen ausgeführt, und zwar Offline, weil Avira und mbam ausgeschaltet sind.

Beim ersten Versuch hatte ich mbam nicht korrekt beendet, deshalb blieb das System hängen. Dann PC neu gestartet und weil Folder C:\_OTL\MovedFiles\ leer war, habe ich Versuch zwei gestartet.

Leider hängt das System nach rund 30' seit dem Start von OTL (OTL Standardeinstellungen übernommen, d.h. scan all users nicht aktiviert, sondern nur benutzerdefinierte Scans/Fixes reinkopiert [**** mit User ersetzt]) und ausser der Maus lässt sich nichts anderes mehr bewegen (OTL lässt sich nicht schliessen und der Task Manager nicht öffnen, selbst die Uhr blieb bei 00:12 stehen).

Weisst Du Rat?

Danke und Gruss

t'john · 26.07.2012, 10:34

Habe den Fix erweitert, bitte neu probieren!

cosmos_2000 · 30.07.2012, 22:04

Hi t'john
Sorry, war ein paar Tage weg, deswegen die Sendepause.

Ich hatte eigentlich das identische Problem; OTL ist meiner Meinung nach nicht zu Ende gelaufen, die Uhr blieb stehen und nach etwa 12 Stunden habe ich abgebrochen.

Heute habe ich Offline (ohne Internetverbindung) den Account geöffnet und dieser war nicht mehr blockiert und Avira Malware hat Malware entdeckt und folgende Aktionen durchgeführt:

Code:

ATTFilter

C:\Dokumente und Einstellungen\****1\Lokale Einstellungen\Temp\goempthnhvhggp.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Kryptik.jjd.10' [trojan] gefunden. -> Quarantäne

Die Datei 'C:\Dokumente und Einstellungen\*****1\Lokale Einstellungen\Temp\goempthnhvhggp.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Kryptik.jjd.10' [trojan].
Durchgeführte Aktion(en):
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-232220866-1415036043-1698194735-1010\SOFTWARE\Microsoft\Windows\CurrentVersion\Run> wurde erfolgreich repariert. Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53d959eb.qua' verschoben!

Jetzt funktioniert der Account auch wieder Online.

Bitte instruiere mich über das weitere Vorgehen, Virenscans etc. wobei ich mich frage, ob mein System unter den gegebenen Umstän

Vollständige Antwort:

Zitat:

Zitat von cosmos_2000

Hi t'john
Sorry, war ein paar Tage weg, deswegen die Sendepause.

Ich hatte eigentlich das identische Problem; OTL ist meiner Meinung nach nicht zu Ende gelaufen, die Uhr blieb stehen und nach etwa 12 Stunden habe ich abgebrochen.

Heute habe ich Offline (ohne Internetverbindung) den Account geöffnet und dieser war nicht mehr blockiert und Avira Malware hat Malware entdeckt und folgende Aktionen durchgeführt:

Code:

ATTFilter

C:\Dokumente und Einstellungen\****1\Lokale Einstellungen\Temp\goempthnhvhggp.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Kryptik.jjd.10' [trojan] gefunden. -> Quarantäne

Die Datei 'C:\Dokumente und Einstellungen\*****1\Lokale Einstellungen\Temp\goempthnhvhggp.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Kryptik.jjd.10' [trojan].
Durchgeführte Aktion(en):
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-232220866-1415036043-1698194735-1010\SOFTWARE\Microsoft\Windows\CurrentVersion\Run> wurde erfolgreich repariert. Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53d959eb.qua' verschoben!

Jetzt funktioniert der Account auch wieder Online.

Bitte instruiere mich über das weitere Vorgehen, Virenscans etc. wobei ich mich frage, ob mein System unter den gegebenen Umständen überhaupt noch sicher weiterbetrieben werden kann, oder ob sich ein neues Aufsetzen aufdrängt.

t'john · 30.07.2012, 23:16

ok, probier diesen Fix:

Code:

ATTFilter

:Processes
killallprocesses
 
:OTL

O4 - HKLM..\Run: [] File not found 
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask) 
O4 - HKLM..\Run: [DXDllRegExe] dxdllreg.exe File not found 
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) 

 
@Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:66B13F37 
@Alternate Data Stream - 122 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:6152D44C 
[2012.07.24 11:59:26 | 000,000,000 | ---D | C] -- C:\Programme\Ask.com 
[2012.07.24 11:59:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\AskToolbar 
[2012.07.24 11:59:33 | 000,000,228 | ---- | C] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job 
 
[2012.07.25 08:38:36 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job 
[2012.07.25 08:39:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\skypePM 
[2012.07.24 21:27:01 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job 
[2012.07.24 21:14:03 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job 
[2012.07.24 19:40:37 | 000,000,460 | -H-- | M] () -- C:\WINDOWS\tasks\Norton Security Scan for *******.job 
 
:Files
 
C:\AUTOEXEC.BAT 
 
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]

cosmos_2000 · 31.07.2012, 08:23

Hi t'john

Leider läuft auch dieser Fix nicht durch.

Aber wie gesagt, der PC ist jetzt wieder "entsperrt" und die SUISA-Meldung ist weg, und zwar offline als auch online.

Gruss

t'john · 31.07.2012, 09:10

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

Windows XP (nur 32-bit)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
Liste der zu deaktivierenden Programme.
Bei Unklarheiten bitte fragen.

ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
Während des Laufs von Combofix nichts anderes am Computer machen!
Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
Bitte nicht in dieses Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es wird ein Backup Deiner Registry erstellt.
Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

cosmos_2000 · 01.08.2012, 09:06

Hi t'john,

Habe Deine Anleitung präzise abgearbeitet. Anbei das ComboFix-Log-File:

Code:

ATTFilter

ComboFix 12-07-30.03 - **** 01.08.2012   9:51.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.41.1031.18.1022.525 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\****1\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\****1\Anwendungsdaten\PriceGong\Data\mru.xml
c:\windows\system32\SET604.tmp
c:\windows\system32\SET606.tmp
c:\windows\system32\SET60A.tmp
c:\windows\system32\SET612.tmp
c:\windows\system32\SET614.tmp
D:\install.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-07-01 bis 2012-08-01  ))))))))))))))))))))))))))))))
.
.
2012-07-30 22:16 . 2012-07-30 22:16	--------	d-----w-	c:\dokumente und einstellungen\****1\Anwendungsdaten\Malwarebytes
2012-07-30 20:37 . 2012-07-30 20:37	9821896	----a-w-	c:\windows\system32\FlashPlayerInstaller.exe
2012-07-29 08:51 . 2012-07-29 08:51	--------	d-----w-	c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Sun
2012-07-25 18:59 . 2012-07-25 18:59	--------	d-----w-	C:\_OTL
2012-07-24 19:42 . 2012-07-24 19:42	--------	d-----w-	c:\programme\SpywareBlaster
2012-07-24 18:28 . 2012-07-24 18:28	--------	d-----w-	c:\programme\ESET
2012-07-24 14:25 . 2012-07-24 14:25	--------	d-----w-	c:\dokumente und einstellungen\****1\Lokale Einstellungen\Anwendungsdaten\AskToolbar
2012-07-24 10:46 . 2012-07-24 10:46	--------	d-----w-	c:\programme\iPod
2012-07-24 10:46 . 2012-07-24 10:47	--------	d-----w-	c:\programme\iTunes
2012-07-24 10:18 . 2012-07-24 10:18	--------	d-----w-	c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Secunia PSI
2012-07-24 10:18 . 2012-07-24 10:18	--------	d-----w-	c:\programme\Secunia
2012-07-24 09:59 . 2012-07-24 09:59	--------	d-----w-	c:\programme\Ask.com
2012-07-24 09:59 . 2012-07-24 09:59	--------	d-----w-	c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\AskToolbar
2012-07-24 09:57 . 2012-07-24 09:57	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2012-07-24 09:56 . 2012-07-24 09:56	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-07-24 09:56 . 2012-07-24 09:56	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-07-24 09:56 . 2012-07-03 11:46	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-07-24 09:49 . 2012-07-24 09:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ask
2012-07-24 09:48 . 2012-07-24 09:48	--------	d-----w-	c:\programme\Oracle
2012-07-24 09:48 . 2012-07-24 09:48	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Oracle
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-30 20:37 . 2012-04-15 12:55	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-07-30 20:37 . 2011-05-17 07:17	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-07-05 20:07 . 2012-04-29 18:33	143872	----a-w-	c:\windows\system32\javacpl.cpl
2012-07-05 20:06 . 2012-04-29 18:33	772544	----a-w-	c:\windows\system32\npdeployJava1.dll
2012-07-05 20:06 . 2010-04-25 07:26	687544	----a-w-	c:\windows\system32\deployJava1.dll
2012-06-13 13:55 . 2004-08-04 12:00	1866240	----a-w-	c:\windows\system32\win32k.sys
2012-06-05 15:49 . 2008-04-14 02:22	1372672	------w-	c:\windows\system32\msxml6.dll
2012-06-05 15:49 . 2004-08-04 12:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2004-08-04 12:00	152576	----a-w-	c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2007-06-19 19:11	18456	----a-w-	c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2007-06-19 19:11	15896	----a-w-	c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2006-11-17 14:25	329240	----a-w-	c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2006-11-17 14:25	219160	----a-w-	c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2006-11-17 14:25	210968	----a-w-	c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2007-06-19 19:11	15896	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2006-11-17 14:25	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2006-11-17 14:25	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 13:19 . 2005-05-26 03:16	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2004-08-04 12:00	97304	----a-w-	c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2007-06-19 19:11	23576	----a-w-	c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2006-11-17 14:25	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2006-11-17 14:25	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 13:18 . 2010-03-06 09:53	275696	----a-w-	c:\windows\system32\mucltui.dll
2012-06-02 13:18 . 2010-03-06 09:53	18160	----a-w-	c:\windows\system32\mucltui.dll.mui
2012-06-02 13:18 . 2009-08-06 18:23	214256	----a-w-	c:\windows\system32\muweb.dll
2012-05-31 13:22 . 2004-08-04 12:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2004-08-04 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-05-11 14:40 . 2004-08-04 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2004-08-04 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2004-08-04 12:00	385024	----a-w-	c:\windows\system32\html.iec
2012-05-08 08:49 . 2011-10-23 08:37	83392	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-05-08 08:49 . 2011-10-23 08:37	137928	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-05-05 03:14 . 2004-08-04 12:00	2150912	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2004-08-04 00:50	2029056	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-07-03 18:42 . 2011-04-24 22:41	85472	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2012-05-04 1519272]
"{c840e246-6b95-475e-9bd7-caa1c7eca9f2}"= "c:\programme\uTorrentBar_DE\prxtbuTor.dll" [2011-03-28 176936]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_CLASSES_ROOT\clsid\{c840e246-6b95-475e-9bd7-caa1c7eca9f2}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-03-28 16:22	176936	----a-w-	c:\programme\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c840e246-6b95-475e-9bd7-caa1c7eca9f2}]
2011-03-28 16:22	176936	----a-w-	c:\programme\uTorrentBar_DE\prxtbuTor.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2012-05-04 13:43	1519272	----a-w-	c:\programme\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{c840e246-6b95-475e-9bd7-caa1c7eca9f2}"= "c:\programme\uTorrentBar_DE\prxtbuTor.dll" [2011-03-28 176936]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\programme\ConduitEngine\prxConduitEngine.dll" [2011-03-28 176936]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2012-05-04 1519272]
.
[HKEY_CLASSES_ROOT\clsid\{c840e246-6b95-475e-9bd7-caa1c7eca9f2}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{C840E246-6B95-475E-9BD7-CAA1C7ECA9F2}"= "c:\programme\uTorrentBar_DE\prxtbuTor.dll" [2011-03-28 176936]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2012-05-04 1519272]
.
[HKEY_CLASSES_ROOT\clsid\{c840e246-6b95-475e-9bd7-caa1c7eca9f2}]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-02-22 26101032]
"uTorrent"="c:\programme\uTorrent\uTorrent.exe" [2011-10-08 641400]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 16050176]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"JMB36X Configure"="c:\windows\system32\JMRaidTool.exe" [2006-08-14 352256]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"type32"="c:\programme\Microsoft IntelliType Pro\type32.exe" [2004-06-03 172032]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 204800]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 49152]
"HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"nwiz"="nwiz.exe" [2006-10-22 1622016]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"PDFPrint"="c:\programme\PDF24\pdf24.exe" [2011-06-16 220552]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-05-08 348624]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
"ApnUpdater"="c:\programme\Ask.com\Updater\Updater.exe" [2012-05-04 1561768]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2012-04-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-06-07 421776]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2003-9-16 237568]
Microsoft Office.lnk - c:\programme\Office XP\Office10\OSA.EXE [2001-2-13 83360]
Secunia PSI Tray.lnk - c:\programme\Secunia\PSI\psi_tray.exe [2012-6-27 572000]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{1984DD45-52CF-49cd-AB77-18F378FEA264}"= "c:\programme\Stardock\Fences\FencesMenu.dll" [2010-06-22 202088]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\WINDOWS\\system32\\mshta.exe"=
"c:\\Programme\\Research In Motion\\BlackBerry Desktop\\Rim.Desktop.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\upc cablecom\\installer\\upc_cablecom_installer.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Windows-Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDP:Peer Name Resolution-Protokoll (PNRP)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [23.10.2011 10:37 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.10.2011 10:38 86224]
R2 Iprip;RIP-Überwachung;c:\windows\System32\svchost.exe -k netsvcs [04.08.2004 14:00 14336]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [24.07.2012 11:56 655944]
R2 Secunia PSI Agent;Secunia PSI Agent;c:\programme\Secunia\PSI\PSIA.exe --start-service --> c:\programme\Secunia\PSI\PSIA.exe --start-service [?]
R2 Secunia Update Agent;Secunia Update Agent;c:\programme\Secunia\PSI\sua.exe --start-service --> c:\programme\Secunia\PSI\sua.exe --start-service [?]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [24.07.2012 11:56 22344]
R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [16.12.2011 16:19 15544]
R3 RTL8192cu;Realtek RTL8192CU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8192cu.sys [11.02.2011 01:34 987904]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.03.2010 21:18 135664]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [15.04.2012 14:55 250056]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [13.03.2010 21:18 135664]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [29.04.2012 20:36 113120]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc	REG_MULTI_SZ   	p2psvc p2pimsvc p2pgasvc PNRPSvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-08-01 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-15 20:37]
.
2012-05-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 11:34]
.
2012-08-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-13 19:18]
.
2012-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-13 19:18]
.
2012-07-24 c:\windows\Tasks\Norton Security Scan for ****.job
- c:\programme\Norton Security Scan\Engine\2.7.6.13\Nss.exe [2011-04-26 00:27]
.
2012-08-01 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2012-05-04 13:43]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://upc-cablecom.ch/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\OFFICE~1\Office10\EXCEL.EXE/3000
TCP: DhcpNameServer = 62.2.17.60 62.2.24.162 62.2.17.61 62.2.24.158
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\cwrxxa29.default\
FF - prefs.js: browser.search.selectedEngine - Ask.com
FF - prefs.js: browser.startup.homepage - hxxp://www.google.ch/firefox/
FF - prefs.js: keyword.URL - hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=&locale=&apn_uid=760A5ECE-650B-46B1-8F87-C9169521B30F&apn_ptnrs=9M&apn_sauid=874B25CC-DD0F-4A10-90D2-38E0572C18AA&apn_dtid=OSJ000&&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-DXDllRegExe - dxdllreg.exe
Notify-WgaLogon - (no file)
AddRemove-Netopia 3300 Series USB Network - c:\programme\Netopia\Netopia 3300 Series USB Network\CnxUnist.exe -w7 Netopia\Netopia 3300 Series USB Network
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-08-01 09:57
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-08-01  10:00:10
ComboFix-quarantined-files.txt  2012-08-01 08:00
.
Vor Suchlauf: 11 Verzeichnis(se), 15'717'785'600 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 16'515'489'792 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 03D871FF6AE023BD7AC1C47303EB85A6

t'john · 01.08.2012, 12:29

Sehr gut!

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

cosmos_2000 · 01.08.2012, 23:24

So, anbei die beiden Log-Files:

A) mbam

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.01.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Nicole :: J*** [Administrator]

Schutz: Aktiviert

01.08.2012 22:58:21
mbam-log-2012-08-01 (22-58-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 386601
Laufzeit: 1 Stunde(n), 10 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

B) AdwCleaner

Code:

ATTFilter

# AdwCleaner v1.800 - Logfile created 08/02/2012 at 00:16:28
# Updated 01/08/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : ***** - JXXXXX
# Running from : C:\Dokumente und Einstellungen\*****\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
Folder Found : C:\Programme\Ask.com
Folder Found : C:\Programme\Conduit
Folder Found : C:\Programme\ConduitEngine
Folder Found : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
File Found : C:\WINDOWS\system32\conduitEngine.tmp
File Found : C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

***** [Registry] *****
[*] Key Found : HKLM\SOFTWARE\Classes\Toolbar.CT2851647
Key Found : HKCU\Software\APN
Key Found : HKCU\Software\Ask.com
Key Found : HKCU\Software\AskToolbar
Key Found : HKCU\Software\Conduit
Key Found : HKCU\Software\conduitEngine
Key Found : HKCU\Software\conduitEngine
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Key Found : HKCU\Software\uTorrentBar_DE
Key Found : HKCU\Toolbar
Key Found : HKLM\SOFTWARE\APN
Key Found : HKLM\SOFTWARE\AskToolbar
Key Found : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Key Found : HKLM\SOFTWARE\Classes\Conduit.Engine
Key Found : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Key Found : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Key Found : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Key Found : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Key Found : HKLM\SOFTWARE\Conduit
Key Found : HKLM\SOFTWARE\conduitEngine
Key Found : HKLM\SOFTWARE\conduitEngine
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Conduit Engine 
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar_DE Toolbar
Key Found : HKLM\SOFTWARE\uTorrentBar_DE
Value Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{C840E246-6B95-475E-9BD7-CAA1C7ECA9F2}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{2E61BEA4-D5C3-443E-92B7-672B0E36D5FE}
Key Found : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Key Found : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Key Found : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Key Found : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Key Found : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{AB4FE51B-B49F-4164-8ACA-3230B060208E}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4B35AE46-9942-45F6-9308-00D6193332DB}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F3C5F26F-9E91-4831-967D-445ACAD0F58B}
Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C840E246-6B95-475E-9BD7-CAA1C7ECA9F2}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{2E61BEA4-D5C3-443E-92B7-672B0E36D5FE}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C840E246-6B95-475E-9BD7-CAA1C7ECA9F2}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C840E246-6B95-475E-9BD7-CAA1C7ECA9F2}
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{30F9B915-B755-4826-820B-08FBA6BD249D}]
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{C840E246-6B95-475E-9BD7-CAA1C7ECA9F2}]
Value Found : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Value Found : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{C840E246-6B95-475E-9BD7-CAA1C7ECA9F2}]
Value Found : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Value Found : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{C840E246-6B95-475E-9BD7-CAA1C7ECA9F2}]

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [6177 octets] - [02/08/2012 00:16:28]

########## EOF - C:\AdwCleaner[R1].txt - [6305 octets] ##########

t'john · 02.08.2012, 03:39

Sehr gut!

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

cosmos_2000 · 05.08.2012, 08:39

Hi t'john

hier sind die Log-Files:

Code:

ATTFilter

# AdwCleaner v1.800 - Logfile created 08/02/2012 at 21:24:42
# Updated 01/08/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : ***** - JXXXX
# Running from : C:\Dokumente und Einstellungen\*****\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
Folder Deleted : C:\Programme\Ask.com
Folder Deleted : C:\Programme\Conduit
Folder Deleted : C:\Programme\ConduitEngine
Folder Deleted : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
File Deleted : C:\WINDOWS\system32\conduitEngine.tmp
File Deleted : C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

***** [Registry] *****
[*] Key Deleted : HKLM\SOFTWARE\Classes\Toolbar.CT2851647
Key Deleted : HKCU\Software\APN
Key Deleted : HKCU\Software\Ask.com
Key Deleted : HKCU\Software\AskToolbar
Key Deleted : HKCU\Software\Conduit
Key Deleted : HKCU\Software\conduitEngine
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Key Deleted : HKCU\Software\uTorrentBar_DE
Key Deleted : HKCU\Toolbar
Key Deleted : HKLM\SOFTWARE\APN
Key Deleted : HKLM\SOFTWARE\AskToolbar
Key Deleted : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Key Deleted : HKLM\SOFTWARE\Classes\Conduit.Engine
Key Deleted : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Key Deleted : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Key Deleted : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Key Deleted : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Key Deleted : HKLM\SOFTWARE\Conduit
Key Deleted : HKLM\SOFTWARE\conduitEngine
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Conduit Engine 
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar_DE Toolbar
Key Deleted : HKLM\SOFTWARE\uTorrentBar_DE
Value Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

***** [Registre - GUID] *****

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{C840E246-6B95-475E-9BD7-CAA1C7ECA9F2}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{2E61BEA4-D5C3-443E-92B7-672B0E36D5FE}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{AB4FE51B-B49F-4164-8ACA-3230B060208E}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4B35AE46-9942-45F6-9308-00D6193332DB}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F3C5F26F-9E91-4831-967D-445ACAD0F58B}
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C840E246-6B95-475E-9BD7-CAA1C7ECA9F2}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{2E61BEA4-D5C3-443E-92B7-672B0E36D5FE}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C840E246-6B95-475E-9BD7-CAA1C7ECA9F2}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C840E246-6B95-475E-9BD7-CAA1C7ECA9F2}
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{30F9B915-B755-4826-820B-08FBA6BD249D}]
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{C840E246-6B95-475E-9BD7-CAA1C7ECA9F2}]
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{C840E246-6B95-475E-9BD7-CAA1C7ECA9F2}]
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{C840E246-6B95-475E-9BD7-CAA1C7ECA9F2}]

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [6306 octets] - [02/08/2012 00:16:28]
AdwCleaner[S1].txt - [6289 octets] - [02/08/2012 21:24:42]

########## EOF - C:\AdwCleaner[S1].txt - [6417 octets] ##########

Code:

ATTFilter

Emsisoft Anti-Malware - Version 6.6
Letztes Update: 02.08.2012 21:37:45

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\, F:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:	02.08.2012 21:38:10

F:\Programme\SmitfraudFix\SmitfraudFix\Process.exe 	gefunden: Riskware.Win32.PrcView!E1
F:\Dokumente und Einstellungen\***** XXXXX\Eigene Dateien\hattrick\Programme\HAM233.exe 	gefunden: Riskware.Win32.MyWay.c!E1
F:\Dokumente und Einstellungen\***** XXXXX\Eigene Dateien\hattrick\Programme\HAM209Setup.exe 	gefunden: Riskware.Win32.MyWay.c!E1
F:\Dokumente und Einstellungen\***** XXXXX\Desktop\HAM242.exe 	gefunden: Riskware.Win32.MyWay.c!E1
F:\Dokumente und Einstellungen\***** XXXXX\Desktop\HAM225.exe 	gefunden: Riskware.Win32.MyWay.c!E1
F:\Dokumente und Einstellungen\***** XXXXX\Desktop\HAM246.exe 	gefunden: Riskware.Win32.MyWay.c!E1

Gescannt	618422
Gefunden	6

Scan Ende:	03.08.2012 00:45:24
Scan Zeit:	3:07:14

Wir haben jetzt schon einiges gemacht, trotzdem scheint dies (noch) nicht effektiv zu sein, weil mbam blockiert noch immer ausgehende gefährliche websites (die nicht ich selber aufrufe):

Code:

ATTFilter

2012/08/05 09:22:20 +0200	J*****		MESSAGE	Starting protection
2012/08/05 09:22:24 +0200	J*****		MESSAGE	Executing scheduled update:  Daily
2012/08/05 09:22:29 +0200	J*****		MESSAGE	Protection started successfully
2012/08/05 09:22:33 +0200	J*****		MESSAGE	Starting IP protection
2012/08/05 09:22:52 +0200	J*****	XXXXX	MESSAGE	Scheduled update executed successfully:  database updated from version v2012.08.03.02 to version v2012.08.05.02
2012/08/05 09:22:56 +0200	J*****	XXXXX	MESSAGE	IP Protection started successfully
2012/08/05 09:22:56 +0200	J*****	XXXXX	MESSAGE	Starting database refresh
2012/08/05 09:22:56 +0200	J*****	XXXXX	MESSAGE	Stopping IP protection
2012/08/05 09:22:56 +0200	J*****	XXXXX	MESSAGE	IP Protection stopped
2012/08/05 09:23:02 +0200	J*****	XXXXX	MESSAGE	Database refreshed successfully
2012/08/05 09:23:02 +0200	J*****	XXXXX	MESSAGE	Starting IP protection
2012/08/05 09:23:08 +0200	J*****	XXXXX	MESSAGE	IP Protection started successfully
2012/08/05 09:24:19 +0200	J*****	XXXXX	IP-BLOCK	99.231.68.123 (Type: outgoing)
2012/08/05 09:24:21 +0200	J*****	XXXXX	IP-BLOCK	77.78.209.138 (Type: outgoing)
2012/08/05 09:24:37 +0200	J*****	XXXXX	IP-BLOCK	222.64.10.228 (Type: outgoing)

Die Frage, ob mein System unter den gegebenen Umständen überhaupt noch sicher weiterbetrieben werden kann, oder ob sich ein neues Aufsetzen aufdrängt, ist für mich noch immer zentral.

Grüsse

26.07.2012, 10:34	#6
t'john /// Helfer-Team	BKA-Trojaner "GEMA / SUISA / GVU 2.03", Windows XP Habe den Fix erweitert, bitte neu probieren! __________________ --> BKA-Trojaner "GEMA / SUISA / GVU 2.03", Windows XP

BKA-Trojaner "GEMA / SUISA / GVU 2.03", Windows XP

Log-Analyse und Auswertung: BKA-Trojaner "GEMA / SUISA / GVU 2.03", Windows XP