Noch unbekannten Trojaner beim Surfen eingefangen (XP)

RobinSword · 31.07.2012, 22:46

Hallo Trojaner-Jäger!

Ich hab mir einen offensichtlich noch recht neuen Trojaner beim Surfen mit IE8 unter XP eingefangen. Plötzlich maximierte sich der IE und Windows begann sich seltsam zu verhalten. Ich öffnete den Task Manager, welcher sofort geschlossen wurden. Daraufhin drückte ich SOFORT den Reset-Knopf am PC, da ich mir schon dachte, was jetzt abgeht und ich keinen Bock auf Verschlüsselung der Platte hatte.

Nun hab ich also einen halblebig installierten Trojaner drauf (welchen auch immer?) - komplett aktiv zu werden, hat er wohl nicht geschafft.

Abgesicherter Modus geht unter XP und ich hab auch noch Win7 auf ner zweiten Partition. Von hier aus schreibe ich dieses Posting.

Der Security Essentials war während des Surfens aktiv, hat aber offensichtlich den Start des Trojaners nicht verhindert.

Ich hab jetzt mal etwas auf der XP-Platte geguckt und da sind mir gleich ein paar Dateien verdächtig vorgekommen. Befinden sich unter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten und haben kryptische Namen (brtcnxcr.exe, wuowxsjw.exe). Der MSE betrachtet sie als clean, aber ich glaube das nicht, deshalb hab ich sie euch an virus@trojaner-board.de gesendet (sehr_verdaechtig.7z).

Auch lustig (wobei, eigentlich ja nicht): Ich hab nen Ordner namens wengvokvctwnxgl gefunden, in dem u.a. PNG-Bilder liegen. Eines davon ist das Bundespolizei-Bild! Ups! Da hat der Trojaner also schon mal die Bilder hin entpackt... Angezeigt wird beim normalen Start von XP aber lediglich eine IE-Seite mit "Seite kann nicht angezeigt werden" (o.ä.), was für mich darauf hindeutet, dass er wie schon erwähnt es nicht geschafft hat, sich komplett zu installieren. Ich starte XP jetzt natürlich nicht mehr im normalen Modus.

So, wie fangen wir jetzt am besten an? Ich vermute mal nen Scan mit ESET Online Scanner mit "Scan Archives"?

Danke schon mal für eure Mühe!

t'john · 31.07.2012, 22:52

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

2. Schritt

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe
- Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
- Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
- Unter Extra Registry, wähle bitte Use SafeList
- Klicke nun auf Run Scan links oben
- Wenn der Scan beendet wurde werden 2 Logfiles erstellt
- Poste die Logfiles hier in den Thread.

RobinSword · 31.07.2012, 23:45

Malwarebytes Logfile:
(den Scan hatte ich schon heute Vormittag gleich nach dem Befall durchgeführt)

Code:

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.31.04

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
Robert :: C2DROB [Administrator]

31.07.2012 09:49:18
mbam-log-2012-07-31 (09-49-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 369708
Laufzeit: 32 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Robert\0.3932947655765726.exe (Exploit.Drop.UR.2) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

OTL.txt:

Code:

ATTFilter

OTL logfile created on: 01.08.2012 00:33:43 - Run 1
OTL by OldTimer - Version 3.2.55.0     Folder = C:\Tools\OTL
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,70 Gb Available Physical Memory | 89,99% Memory free
6,88 Gb Paging File | 6,74 Gb Available in Paging File | 97,94% Paging File free
Paging file location(s): E:\pagefile.sys 4096 4096 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 69,24 Gb Total Space | 7,49 Gb Free Space | 10,82% Space Free | Partition Type: NTFS
Drive D: | 62,42 Gb Total Space | 10,22 Gb Free Space | 16,38% Space Free | Partition Type: NTFS
Drive E: | 170,46 Gb Total Space | 32,27 Gb Free Space | 18,93% Space Free | Partition Type: NTFS
Drive F: | 494,77 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive G: | 55,90 Gb Total Space | 8,99 Gb Free Space | 16,08% Space Free | Partition Type: NTFS
 
Computer Name: C2DROB | User Name: Robert | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Tools\OTL\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (TomTomHOMEService) -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe (TomTom)
SRV - (nvUpdatusService) -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
SRV - (MsMpSvc) -- C:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (NMSAccess) -- C:\Programme\CDBurnerXP\NMSAccessU.exe ()
SRV - (Creative Audio Engine Licensing Service) -- C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe (Creative Labs)
SRV - (Fabs) -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe (MAGIX AG)
SRV - (CTAudSvcService) -- C:\Programme\Creative\Shared Files\CTAudSvc.exe (Creative Technology Ltd)
SRV - (FirebirdServerMAGIXInstance) -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe (MAGIX®)
SRV - (PSI_SVC_2) -- C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe (Protexis Inc.)
SRV - (ProtexisLicensing) -- C:\WINDOWS\system32\PSIService.exe ()
SRV - (IviRegMgr) -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe (InterVideo)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (Winflash) -- C:\Programme\ABIT\FlashMenu\WinFlash.sys File not found
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (Memctl) -- C:\Programme\ABIT\FlashMenu\Memctl.sys File not found
DRV - (lbrtfdc) --  File not found
DRV - (IntcAzAudAddService) -- system32\drivers\RtkHDAud.sys File not found
DRV - (i2omgmt) --  File not found
DRV - (CTHWIUT.DLL) -- system32\CTHWIUT.DLL File not found
DRV - (CTEXFIFX.DLL) -- system32\CTEXFIFX.DLL File not found
DRV - (CT20XUT.DLL) -- system32\CT20XUT.DLL File not found
DRV - (cpuz134) -- E:\Temp\cpuz134\cpuz134_x32.sys File not found
DRV - (cpuz132) -- E:\Temp\cpuz132\cpuz132_x32.sys File not found
DRV - (cpuz130) -- E:\Temp\cpuz130\cpuz_x32.sys File not found
DRV - (Changer) --  File not found
DRV - (cel90xbe) -- E:\Temp\cel90xbe.sys File not found
DRV - (Cardex) -- C:\WINDOWS\system32\drivers\TBPANEL.SYS File not found
DRV - (MpKslc4ca21b0) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2201890D-F94F-4279-8868-B857D2FF34B7}\MpKslc4ca21b0.sys (Microsoft Corporation)
DRV - (MBAMProtector) -- C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (FsUsbExDisk) -- C:\WINDOWS\system32\FsUsbExDisk.Sys ()
DRV - (ha20x2k) -- C:\WINDOWS\system32\drivers\ha20x2k.sys (Creative Technology Ltd)
DRV - (emupia) -- C:\WINDOWS\system32\drivers\emupia2k.sys (Creative Technology Ltd)
DRV - (ctsfm2k) -- C:\WINDOWS\system32\drivers\ctsfm2k.sys (Creative Technology Ltd)
DRV - (ctprxy2k) -- C:\WINDOWS\system32\drivers\ctprxy2k.sys (Creative Technology Ltd)
DRV - (ossrv) -- C:\WINDOWS\system32\drivers\ctoss2k.sys (Creative Technology Ltd.)
DRV - (ctdvda2k) -- C:\WINDOWS\system32\drivers\ctdvda2k.sys (Creative Technology Ltd)
DRV - (ctaud2k) -- C:\WINDOWS\system32\drivers\ctaud2k.sys (Creative Technology Ltd)
DRV - (ctac32k) -- C:\WINDOWS\system32\drivers\ctac32k.sys (Creative Technology Ltd)
DRV - (CTEXFIFX.SYS) -- C:\WINDOWS\system32\drivers\CTEXFIFX.sys (Creative Technology Ltd.)
DRV - (CTEXFIFX) -- C:\WINDOWS\system32\drivers\CTEXFIFX.sys (Creative Technology Ltd.)
DRV - (CTHWIUT.SYS) -- C:\WINDOWS\system32\drivers\CTHWIUT.sys (Creative Technology Ltd.)
DRV - (CTHWIUT) -- C:\WINDOWS\system32\drivers\CTHWIUT.sys (Creative Technology Ltd.)
DRV - (CT20XUT.SYS) -- C:\WINDOWS\system32\drivers\CT20XUT.sys (Creative Technology Ltd.)
DRV - (CT20XUT) -- C:\WINDOWS\system32\drivers\CT20XUT.sys (Creative Technology Ltd.)
DRV - (StarOpen) -- C:\WINDOWS\System32\drivers\StarOpen.sys ()
DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys ()
DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys ()
DRV - (acedrv11) -- C:\WINDOWS\system32\drivers\acedrv11.sys (Protect Software GmbH)
DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)
DRV - (motccgpfl) -- C:\WINDOWS\system32\drivers\motccgpfl.sys (Motorola)
DRV - (motccgp) -- C:\WINDOWS\system32\drivers\motccgp.sys (Motorola)
DRV - (UnlockerDriver5) -- C:\Programme\Unlocker\UnlockerDriver5.sys ()
DRV - (hotcore3) -- C:\WINDOWS\system32\drivers\hotcore3.sys (Paragon Software Group)
DRV - (CTEDSPSY.DLL) -- C:\WINDOWS\system32\CTEDSPSY.DLL (Creative Technology Ltd)
DRV - (CTEDSPIO.DLL) -- C:\WINDOWS\system32\CTEDSPIO.DLL (Creative Technology Ltd)
DRV - (CTERFXFX.DLL) -- C:\WINDOWS\system32\CTERFXFX.DLL (Creative Technology Ltd)
DRV - (CTEDSPFX.DLL) -- C:\WINDOWS\system32\CTEDSPFX.DLL (Creative Technology Ltd)
DRV - (CTEAPSFX.DLL) -- C:\WINDOWS\system32\CTEAPSFX.DLL (Creative Technology Ltd)
DRV - (CTSBLFX.DLL) -- C:\WINDOWS\system32\CTSBLFX.DLL (Creative Technology Ltd)
DRV - (CTAUDFX.DLL) -- C:\WINDOWS\system32\CTAUDFX.DLL (Creative Technology Ltd)
DRV - (COMMONFX.DLL) -- C:\WINDOWS\system32\COMMONFX.DLL (Creative Technology Ltd)
DRV - (MotDev) -- C:\WINDOWS\system32\drivers\motodrv.sys (Motorola Inc)
DRV - (motmodem) -- C:\WINDOWS\system32\drivers\motmodem.sys (Motorola)
DRV - (regi) -- C:\WINDOWS\system32\drivers\regi.sys (InterVideo)
DRV - (jraid) -- C:\WINDOWS\system32\drivers\jraid.sys (JMicron Technology Corp.)
DRV - (UGURU) -- C:\WINDOWS\system32\drivers\uGuru.sys (ABIT)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (Jgogo) -- C:\WINDOWS\system32\drivers\Jgogo.sys (JMicron )
DRV - (SaiIFF04) -- C:\WINDOWS\system32\drivers\SaiIFF04.sys (Saitek)
DRV - (SaiHFF04) -- C:\WINDOWS\system32\drivers\SaiHFF04.sys (Saitek)
DRV - (RTCore32) -- C:\Programme\EVGA Precision\RTCore32.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 36 5F B3 B0 54 6F CD 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {8055E4E5-6384-44EE-9668-B64409202C19}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{8055E4E5-6384-44EE-9668-B64409202C19}: "URL" = hxxp://www.google.com/search?q={searchTerms}&amp;sourceid=ie7&amp;rls=com.microsoft:{language}:{referrer:source}&amp;ie={inputEncoding?}&oe={outputEncoding?}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@RIM.com/WebSLLauncher,version=1.0: C:\Programme\Gemeinsame Dateien\Research In Motion\BBWebSLLauncher\NPWebSLLauncher.dll ()
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=7: C:\Programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=8: C:\Programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll File not found
FF - HKLM\Software\MozillaPlugins\@veetle.com/vbp;version=0.9.17: C:\Programme\Veetle\VLCBroadcast\npvbp.dll File not found
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 14.0\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2012.06.20 09:15:49 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 14.0\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2010.06.26 14:31:35 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\Mozilla\Extensions
[2010.06.26 14:31:35 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com
[2012.07.14 11:51:19 | 000,141,976 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ROBERT\ANWENDUNGSDATEN\THUNDERBIRD\PROFILES\CZHGH4JG.DEFAULT\EXTENSIONS\{3ED8CC52-86FC-4613-9026-C1EF969DA4C3}.XPI
[2011.08.08 19:13:55 | 000,000,000 | ---D | M] (German Dictionary) -- C:\DOKUMENTE UND EINSTELLUNGEN\ROBERT\ANWENDUNGSDATEN\THUNDERBIRD\PROFILES\CZHGH4JG.DEFAULT\EXTENSIONS\DE-DE@DICTIONARIES.ADDONS.MOZILLA.ORG
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [CTHelper] C:\WINDOWS\System32\CtHelper.exe (Creative Technology Ltd)
O4 - HKLM..\Run: [CTxfiHlp] C:\WINDOWS\System32\Ctxfihlp.exe (Creative Technology Ltd)
O4 - HKLM..\Run: [MSC] C:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [RIMBBLaunchAgent.exe] C:\Programme\Gemeinsame Dateien\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe (Research In Motion Limited)
O4 - HKLM..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_MX_Plus\Trayserver_DE.exe (MAGIX AG)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware  (cleanup)] rundll32.exe "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoPropertiesMyComputer = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFileAssociate = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFind = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: StartMenuLogoff = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispCPL = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispBackgroundPage = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispSettingsPage = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispScrSavPage = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Domains: fritz.repeater ([]* in Lokales Intranet)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} hxxp://www.creative.com/su/ocx/15030/CTSUEng.cab (Creative Software AutoUpdate)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/5/b/0/5b0d4654-aa20-495c-b89f-c1c34c691085/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab (System Requirements Lab Class)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161249445946 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1165612836819 (MUWebControl Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25)
O16 - DPF: {CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object)
O16 - DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab (Creative Software AutoUpdate Support Package 2)
O16 - DPF: {E705A591-DA3C-4228-B0D5-A356DBA42FBF} hxxp://ccfiles.creative.com/Web/softwareupdate/su2/ocx/20015/CTSUEng.cab (Creative Software AutoUpdate 2)
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/110926/CTPID.cab (Creative Software AutoUpdate Support Package)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{47E46AA3-5437-4791-929B-37661301CDF3}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.10.13 14:47:50 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [1999.08.20 02:17:26 | 000,200,771 | R--- | M] () - F:\autorun.exe -- [ CDFS ]
O33 - MountPoints2\{8757db40-a4a3-11de-ba92-00508d94047a}\Shell\AutoRun\command - "" = G:\installer.exe
O33 - MountPoints2\{8757db40-a4a3-11de-ba92-00508d94047a}\Shell\verb\command - "" = G:\installer.exe
O33 - MountPoints2\{f390b70e-84fe-11db-aa2f-00508d94047a}\Shell - "" = AutoRun
O33 - MountPoints2\{f390b70e-84fe-11db-aa2f-00508d94047a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f390b70e-84fe-11db-aa2f-00508d94047a}\Shell\AutoRun\command - "" = G:\DTE_Privacy_launcher.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKCU\...com [@ = comfile] -- Reg Error: Key error. File not found
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.07.31 22:56:25 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2012.07.31 21:45:51 | 000,000,000 | ---D | C] -- C:\Programme\stinger
[2012.07.31 09:46:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.07.31 09:46:40 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.07.31 09:46:40 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.07.31 01:19:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wengvokvctwnxgl
[2012.07.24 22:57:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\KeePass
[2012.07.24 22:55:56 | 000,000,000 | ---D | C] -- C:\Programme\KeePass Password Safe
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.08.01 00:35:41 | 000,000,358 | -H-- | M] () -- C:\WINDOWS\tasks\MpIdleTask.job
[2012.08.01 00:26:09 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.08.01 00:25:38 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.07.31 09:46:42 | 000,000,761 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.30 22:58:23 | 000,000,554 | ---- | M] () -- C:\WINDOWS\lexstat.ini
[2012.07.30 18:53:56 | 000,053,968 | ---- | M] () -- C:\WINDOWS\System32\BMXStateBkp-{00000004-00000000-00000005-00001102-00000005-00231102}.rfx
[2012.07.30 18:53:56 | 000,053,968 | ---- | M] () -- C:\WINDOWS\System32\BMXState-{00000004-00000000-00000005-00001102-00000005-00231102}.rfx
[2012.07.30 18:53:56 | 000,000,788 | ---- | M] () -- C:\WINDOWS\System32\DVCState-{00000004-00000000-00000005-00001102-00000005-00231102}.rfx
[2012.07.30 18:29:49 | 000,426,184 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2012.07.30 18:29:49 | 000,070,344 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2012.07.29 10:52:10 | 000,000,030 | ---- | M] () -- C:\WINDOWS\Iedit_.INI
[2012.07.24 22:55:57 | 000,000,743 | ---- | M] () -- C:\Dokumente und Einstellungen\Robert\Desktop\KeePass.lnk
[2012.07.15 13:25:07 | 000,000,260 | ---- | M] () -- C:\Dokumente und Einstellungen\Robert\Desktop\ToDo.url
[2012.07.12 18:27:10 | 000,322,728 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.07.12 09:01:04 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.07.07 15:21:06 | 000,000,491 | ---- | M] () -- C:\Dokumente und Einstellungen\Robert\Desktop\GTraining.lnk
[2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.07.31 09:46:42 | 000,000,761 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.24 22:55:57 | 000,000,749 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\KeePass.lnk
[2012.07.24 22:55:57 | 000,000,743 | ---- | C] () -- C:\Dokumente und Einstellungen\Robert\Desktop\KeePass.lnk
[2012.07.07 15:21:06 | 000,000,491 | ---- | C] () -- C:\Dokumente und Einstellungen\Robert\Desktop\GTraining.lnk
[2012.07.03 19:09:06 | 000,000,260 | ---- | C] () -- C:\Dokumente und Einstellungen\Robert\Desktop\ToDo.url
[2012.06.07 18:23:41 | 001,407,296 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2012.05.25 21:34:48 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Anwendungsdaten\census.cache
[2012.05.25 21:34:48 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Anwendungsdaten\ars.cache
[2012.05.25 21:32:45 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2012.05.22 23:31:45 | 001,074,668 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2012.05.22 23:31:45 | 001,074,668 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2012.05.22 23:31:45 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2012.04.06 21:19:22 | 000,040,960 | R--- | C] () -- C:\WINDOWS\System32\psfind.dll
[2012.02.12 19:51:51 | 000,000,120 | ---- | C] () -- C:\Dokumente und Einstellungen\Robert\Mediaport.conf
[2012.02.07 20:02:56 | 000,322,728 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.01.16 09:36:46 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2011.12.23 18:36:08 | 000,476,535 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-3413822986-461768239-2665817779-1006-0.dat
[2011.12.23 18:36:08 | 000,269,514 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2011.10.17 09:37:47 | 000,000,046 | ---- | C] () -- C:\WINDOWS\Speed.INI
[2011.09.10 14:49:19 | 002,807,708 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data
[2011.08.04 15:20:38 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011.03.13 18:24:50 | 000,000,007 | ---- | C] () -- C:\WINDOWS\treeskp.sys
[2011.02.16 11:41:33 | 002,116,894 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2011.01.15 17:11:52 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2010.10.16 23:37:23 | 000,000,347 | ---- | C] () -- C:\WINDOWS\CTWave.INI
[2010.03.18 23:57:32 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\$_hpcst$.hpc
[2007.01.25 17:15:41 | 000,001,362 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2006.11.09 00:37:49 | 000,144,384 | ---- | C] () -- C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006.10.19 16:03:55 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:364682BC

< End of report >

Extras.txt:

Code:

ATTFilter

OTL Extras logfile created on: 01.08.2012 00:33:43 - Run 1
OTL by OldTimer - Version 3.2.55.0     Folder = C:\Tools\OTL
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,70 Gb Available Physical Memory | 89,99% Memory free
6,88 Gb Paging File | 6,74 Gb Available in Paging File | 97,94% Paging File free
Paging file location(s): E:\pagefile.sys 4096 4096 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 69,24 Gb Total Space | 7,49 Gb Free Space | 10,82% Space Free | Partition Type: NTFS
Drive D: | 62,42 Gb Total Space | 10,22 Gb Free Space | 16,38% Space Free | Partition Type: NTFS
Drive E: | 170,46 Gb Total Space | 32,27 Gb Free Space | 18,93% Space Free | Partition Type: NTFS
Drive F: | 494,77 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive G: | 55,90 Gb Total Space | 8,99 Gb Free Space | 16,08% Space Free | Partition Type: NTFS
 
Computer Name: C2DROB | User Name: Robert | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.bat [@ = batfile] -- Reg Error: Key error. File not found
.com [@ = comfile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"4481:TCP" = 4481:TCP:LocalSubNet:Enabled:BlackBerry Desktop Software Wireless Music Sync data transfer
"4481:UDP" = 4481:UDP:LocalSubNet:Enabled:BlackBerry Desktop Software Wireless Music Sync discovery
"4482:TCP" = 4482:TCP:LocalSubNet:Enabled:BlackBerry Desktop Software Wireless Music Sync data transfer
"4482:UDP" = 4482:UDP:LocalSubNet:Enabled:BlackBerry Desktop Software Wireless Music Sync discovery
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\WS_FTP Pro\ftp95pro.exe" = C:\Programme\WS_FTP Pro\ftp95pro.exe:*:Enabled:WS_FTP 95 -- (Ipswitch, Inc. 81 Hartwell Ave. Lexington, MA)
"C:\Spiele\Siedler 3\s3.exe" = C:\Spiele\Siedler 3\s3.exe:*:Enabled:Siedler3 -- (Blue Byte )
"F:\fsetup.exe" = F:\fsetup.exe:*:Enabled:AVM FSetup Application
"C:\Spiele\Two Worlds\TwoWorlds.exe" = C:\Spiele\Two Worlds\TwoWorlds.exe:*:Enabled:Two Worlds -- (Reality Pump)
"C:\Spiele\Two Worlds\TwoWorlds_RADEON.exe" = C:\Spiele\Two Worlds\TwoWorlds_RADEON.exe:*:Enabled:Two Worlds -- (Reality Pump)
"C:\Programme\Ubisoft\Ubisoft Game Launcher\UbisoftGameLauncher.exe" = C:\Programme\Ubisoft\Ubisoft Game Launcher\UbisoftGameLauncher.exe:*:Enabled:Ubisoft Game Launcher -- (Ubisoft)
"C:\Spiele\Age of Empires II\EMPIRES2.ICD" = C:\Spiele\Age of Empires II\EMPIRES2.ICD:*:Enabled:Age of Empires II -- (Microsoft Corporation)
"C:\Programme\Corel\DVD9\WinDVD.exe" = C:\Programme\Corel\DVD9\WinDVD.exe:*:Enabled:WinDVD -- (Corel Corporation)
"C:\Programme\Steam\Steam.exe" = C:\Programme\Steam\Steam.exe:*:Enabled:Steam
"C:\Tools\FtpDir.exe" = C:\Tools\FtpDir.exe:*:Enabled:FtpDir -- ()
"C:\Spiele\TmNationsForever\TmForever.exe" = C:\Spiele\TmNationsForever\TmForever.exe:*:Enabled:TmForever -- ()
"C:\Spiele\Blobby\volley.exe" = C:\Spiele\Blobby\volley.exe:*:Enabled:volley -- ()
"C:\WINDOWS\system32\dplaysvr.exe" = C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper -- (Microsoft Corporation)
"E:\Spiele\Siedler 6\base\bin\Settlers6.exe" = E:\Spiele\Siedler 6\base\bin\Settlers6.exe:*:Enabled:DIE SIEDLER - Aufstieg eines Königreichs -- (Blue Byte GmbH)
"E:\Spiele\UT3Demo\Binaries\UT3Demo.exe" = E:\Spiele\UT3Demo\Binaries\UT3Demo.exe:*:Enabled:Unreal Tournament 3 Demo -- ()
"C:\Spiele\Two Worlds II\TwoWorlds2.exe" = C:\Spiele\Two Worlds II\TwoWorlds2.exe:*:Enabled:Two Worlds II -- (Reality Pump)
"E:\Spiele\Cryptic Studios\Star Trek Online\Live\GameClient.exe" = E:\Spiele\Cryptic Studios\Star Trek Online\Live\GameClient.exe:*:Enabled:GameClient -- ()
"C:\Spiele\Titan Quest Immortal Throne\Tqit.exe" = C:\Spiele\Titan Quest Immortal Throne\Tqit.exe:*:Enabled:Tqit -- ()
"C:\Programme\TeamViewer\Version7\TeamViewer.exe" = C:\Programme\TeamViewer\Version7\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
"C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe" = C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe:*:Enabled:Teamviewer Remote Control Service -- (TeamViewer GmbH)
"C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe" = C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe:*:Enabled:Daemonu.exe -- (NVIDIA Corporation)
"C:\Programme\Research In Motion\BlackBerry Desktop\Rim.Desktop.exe" = C:\Programme\Research In Motion\BlackBerry Desktop\Rim.Desktop.exe:*:Enabled:BlackBerry Desktop Software -- (Research In Motion)
"C:\Programme\ElsterFormular\bin\installationsverwaltung.exe" = C:\Programme\ElsterFormular\bin\installationsverwaltung.exe:*:Enabled:installationsverwaltung.exe -- ()
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
<aus Datenschutzgründen aus Logfile gelöscht, RobinSword>
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
<aus Datenschutzgründen aus Logfile gelöscht, RobinSword>
 
========== Last 20 Event Log Errors ==========
 
[ OSession Events ]
Error - 22.05.2012 16:41:31 | Computer Name = C2DROB | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6661.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 144
 seconds with 0 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 31.07.2012 18:27:22 | Computer Name = C2DROB | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   Fips  intelppm  MpFilter
 
Error - 31.07.2012 18:28:44 | Computer Name = C2DROB | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 31.07.2012 18:29:18 | Computer Name = C2DROB | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 31.07.2012 18:29:35 | Computer Name = C2DROB | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 31.07.2012 18:29:36 | Computer Name = C2DROB | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 31.07.2012 18:32:15 | Computer Name = C2DROB | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 31.07.2012 18:32:41 | Computer Name = C2DROB | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 31.07.2012 18:35:52 | Computer Name = C2DROB | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "wuauserv"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {E60687F7-01A1-40AA-86AC-DB1CBF673334}
 
Error - 31.07.2012 18:35:53 | Computer Name = C2DROB | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "wuauserv"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {E60687F7-01A1-40AA-86AC-DB1CBF673334}
 
Error - 31.07.2012 18:35:53 | Computer Name = C2DROB | Source = Microsoft Antimalware | ID = 2001
Description = Beim Aktualisieren der Signaturen wurde von %%860 ein Fehler festgestellt.

	Neue
 Signaturversion:      Vorherige Signaturversion: 1.131.1006.0     Aktualisierungsquelle: 
%%859     Aktualisierungsphase: %%852     Quellpfad: Default URL     Signaturtyp: %%800     Aktualisierungstyp:
 %%803     Benutzer: NT-AUTORITÄT\SYSTEM     Aktuelle Modulversion:      Vorherige Modulversion:
 1.1.8601.0     Fehlercode: 0x8007043c     Fehlerbeschreibung: Der Dienst kann nicht im abgesicherten
 Modus gestartet werden. 
 
 
< End of report >

t'john · 01.08.2012, 00:01

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

ATTFilter

:OTL
SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found 
SRV - (NMSAccess) -- C:\Programme\CDBurnerXP\NMSAccessU.exe () 
SRV - (ProtexisLicensing) -- C:\WINDOWS\system32\PSIService.exe () 
DRV - (Winflash) -- C:\Programme\ABIT\FlashMenu\WinFlash.sys File not found 
DRV - (WDICA) -- File not found 
DRV - (PDRFRAME) -- File not found 
DRV - (PDRELI) -- File not found 
DRV - (PDFRAME) -- File not found 
DRV - (PDCOMP) -- File not found 
DRV - (PCIDump) -- File not found 
DRV - (Memctl) -- C:\Programme\ABIT\FlashMenu\Memctl.sys File not found 
DRV - (lbrtfdc) -- File not found 
DRV - (IntcAzAudAddService) -- system32\drivers\RtkHDAud.sys File not found 
DRV - (i2omgmt) -- File not found 
DRV - (CTHWIUT.DLL) -- system32\CTHWIUT.DLL File not found 
DRV - (CTEXFIFX.DLL) -- system32\CTEXFIFX.DLL File not found 
DRV - (CT20XUT.DLL) -- system32\CT20XUT.DLL File not found 
DRV - (cpuz134) -- E:\Temp\cpuz134\cpuz134_x32.sys File not found 
DRV - (cpuz132) -- E:\Temp\cpuz132\cpuz132_x32.sys File not found 
DRV - (cpuz130) -- E:\Temp\cpuz130\cpuz_x32.sys File not found 
DRV - (Changer) -- File not found 
DRV - (cel90xbe) -- E:\Temp\cel90xbe.sys File not found 
DRV - (Cardex) -- C:\WINDOWS\system32\drivers\TBPANEL.SYS File not found 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} 
IE - HKCU\..\SearchScopes,DefaultScope = {8055E4E5-6384-44EE-9668-B64409202C19} 
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC 
IE - HKCU\..\SearchScopes\{8055E4E5-6384-44EE-9668-B64409202C19}: "URL" = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?} 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
FF - user.js - File not found 
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=7: C:\Programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll File not found 
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=8: C:\Programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll File not found 
FF - HKLM\Software\MozillaPlugins\@veetle.com/vbp;version=0.9.17: C:\Programme\Veetle\VLCBroadcast\npvbp.dll File not found 
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) 
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - No CLSID value found. 
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. 
O4 - HKLM..\RunOnce: [  Malwarebytes Anti-Malware  (cleanup)] rundll32.exe "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2006.10.13 14:47:50 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 
O32 - AutoRun File - [1999.08.20 02:17:26 | 000,200,771 | R--- | M] () - F:\autorun.exe -- [ CDFS ] 
O33 - MountPoints2\{8757db40-a4a3-11de-ba92-00508d94047a}\Shell\AutoRun\command - "" = G:\installer.exe 
O33 - MountPoints2\{f390b70e-84fe-11db-aa2f-00508d94047a}\Shell - "" = AutoRun 
O33 - MountPoints2\{f390b70e-84fe-11db-aa2f-00508d94047a}\Shell\AutoRun - "" = Auto&Play 
O33 - MountPoints2\{f390b70e-84fe-11db-aa2f-00508d94047a}\Shell\AutoRun\command - "" = G:\DTE_Privacy_launcher.exe 
O37 - HKCU\...com [@ = comfile] -- Reg Error: Key error. File not found 
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
@Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:364682BC 
[2012.08.01 00:35:41 | 000,000,358 | -H-- | M] () -- C:\WINDOWS\tasks\MpIdleTask.job 
:Files
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wengvokvctwnxgl
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

RobinSword · 01.08.2012, 17:14

OTL-Fix durchgeführt!

Logfile:

Code:

ATTFilter

All processes killed
========== OTL ==========
Service AppMgmt stopped successfully!
Service AppMgmt deleted successfully!
File %SystemRoot%\System32\appmgmts.dll File not found not found.
Service NMSAccess stopped successfully!
Service NMSAccess deleted successfully!
C:\Programme\CDBurnerXP\NMSAccessU.exe moved successfully.
Service ProtexisLicensing stopped successfully!
Service ProtexisLicensing deleted successfully!
C:\WINDOWS\system32\PSIService.exe moved successfully.
Error: No service named Winflash was found to stop!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winflash deleted successfully.
File C:\Programme\ABIT\FlashMenu\WinFlash.sys File not found not found.
Service WDICA stopped successfully!
Service WDICA deleted successfully!
File File not found not found.
Service PDRFRAME stopped successfully!
Service PDRFRAME deleted successfully!
File File not found not found.
Service PDRELI stopped successfully!
Service PDRELI deleted successfully!
File File not found not found.
Service PDFRAME stopped successfully!
Service PDFRAME deleted successfully!
File File not found not found.
Service PDCOMP stopped successfully!
Service PDCOMP deleted successfully!
File File not found not found.
Service PCIDump stopped successfully!
Service PCIDump deleted successfully!
File File not found not found.
Service Memctl stopped successfully!
Service Memctl deleted successfully!
File C:\Programme\ABIT\FlashMenu\Memctl.sys File not found not found.
Service lbrtfdc stopped successfully!
Service lbrtfdc deleted successfully!
File File not found not found.
Service IntcAzAudAddService stopped successfully!
Service IntcAzAudAddService deleted successfully!
File system32\drivers\RtkHDAud.sys File not found not found.
Service i2omgmt stopped successfully!
Service i2omgmt deleted successfully!
File File not found not found.
Service CTHWIUT.DLL stopped successfully!
Service CTHWIUT.DLL deleted successfully!
File system32\CTHWIUT.DLL File not found not found.
Service CTEXFIFX.DLL stopped successfully!
Service CTEXFIFX.DLL deleted successfully!
File system32\CTEXFIFX.DLL File not found not found.
Service CT20XUT.DLL stopped successfully!
Service CT20XUT.DLL deleted successfully!
File system32\CT20XUT.DLL File not found not found.
Service cpuz134 stopped successfully!
Service cpuz134 deleted successfully!
File E:\Temp\cpuz134\cpuz134_x32.sys File not found not found.
Service cpuz132 stopped successfully!
Service cpuz132 deleted successfully!
File E:\Temp\cpuz132\cpuz132_x32.sys File not found not found.
Service cpuz130 stopped successfully!
Service cpuz130 deleted successfully!
File E:\Temp\cpuz130\cpuz_x32.sys File not found not found.
Service Changer stopped successfully!
Service Changer deleted successfully!
File File not found not found.
Service cel90xbe stopped successfully!
Service cel90xbe deleted successfully!
File E:\Temp\cel90xbe.sys File not found not found.
Service Cardex stopped successfully!
Service Cardex deleted successfully!
File C:\WINDOWS\system32\drivers\TBPANEL.SYS File not found not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{8055E4E5-6384-44EE-9668-B64409202C19}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8055E4E5-6384-44EE-9668-B64409202C19}\ not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=7\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=8\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@veetle.com/vbp;version=0.9.17\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\ deleted successfully.
File move failed. C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C424171E-592A-415A-9EB1-DFD6D95D3530} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C424171E-592A-415A-9EB1-DFD6D95D3530}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\ Malwarebytes Anti-Malware (cleanup) not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoCDBurning deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
File move failed. F:\autorun.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8757db40-a4a3-11de-ba92-00508d94047a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8757db40-a4a3-11de-ba92-00508d94047a}\ not found.
File G:\installer.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f390b70e-84fe-11db-aa2f-00508d94047a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f390b70e-84fe-11db-aa2f-00508d94047a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f390b70e-84fe-11db-aa2f-00508d94047a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f390b70e-84fe-11db-aa2f-00508d94047a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f390b70e-84fe-11db-aa2f-00508d94047a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f390b70e-84fe-11db-aa2f-00508d94047a}\ not found.
File G:\DTE_Privacy_launcher.exe not found.
Registry key HKEY_CURRENT_USER\Software\Classes\.com\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Classes\comfile\ deleted successfully.
HKEY_LOCAL_MACHINE\Software\Classes\.com\\|comfile /E : value set successfully!
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
C:\WINDOWS\System32\SET3E.tmp deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:364682BC deleted successfully.
C:\WINDOWS\tasks\MpIdleTask.job moved successfully.
========== FILES ==========
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wengvokvctwnxgl folder moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Tools\OTL\cmd.bat deleted successfully.
C:\Tools\OTL\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 66016 bytes

User: NetworkService
->Temp folder emptied: 1432702 bytes

User: Robert
->Temp folder emptied: 0 bytes
->Java cache emptied: 402124 bytes
->Flash cache emptied: 523 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 311296 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 311672 bytes
Session Manager Temp folder emptied: 48048077 bytes
Session Manager Tmp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 48,00 mb

[EMPTYFLASH]

User: Administrator

User: All Users

User: Default User

User: LocalService

User: NetworkService

User: Robert
->Flash cache emptied: 0 bytes

User: UpdatusUser

Total Flash Files Cleaned = 0,00 mb

OTL by OldTimer - Version 3.2.55.0 log created on 08012012_181047

t'john · 02.08.2012, 04:31

Sehr gut!

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

RobinSword · 02.08.2012, 07:25

Malwarebytes Log:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.02.02

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
Robert :: C2DROB [Administrator]

02.08.2012 07:50:41
mbam-log-2012-08-02 (07-50-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 353667
Laufzeit: 27 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

AdwCleaner Log:

Code:

ATTFilter

# AdwCleaner v1.800 - Logfile created 08/02/2012 at 08:23:42
# Updated 01/08/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : Robert - C2DROB
# Running from : D:\Trojaner_Board_Transfer\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****

Key Found : HKCU\Software\Softonic
Key Found : HKLM\SOFTWARE\Canneverbe Limited\OpenCandy
Key Found : HKLM\SOFTWARE\Wise Solutions

***** [Registre - GUID] *****

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [884 octets] - [02/08/2012 08:23:42]

########## EOF - C:\AdwCleaner[R1].txt - [1011 octets] ##########

t'john · 02.08.2012, 12:47

Sehr gut!

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

RobinSword · 02.08.2012, 22:27

Vorab ein paar Hinweise meinerseits: Da sind definitiv ein paar Fehlalarme dabei. Die Glide2x.dll enthält z.B. keinen Virus sondern gehört zum Glide-Treiber, den ich für ein älteres Spiel brauche.
Außerdem wurden ein paar Spaßprogramme gefunden.
Und die Lieferung.zip auf G: ist das "Backup" eines Trojaners. Wurde aber nie auf diesem System ausgeführt.

AdwCleaner-Log:

Code:

ATTFilter

# AdwCleaner v1.800 - Logfile created 08/02/2012 at 20:46:12
# Updated 01/08/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : Robert - C2DROB
# Running from : D:\Trojaner_Board_Transfer\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****

Key Deleted : HKCU\Software\Softonic
Key Deleted : HKLM\SOFTWARE\Canneverbe Limited\OpenCandy
Key Deleted : HKLM\SOFTWARE\Wise Solutions

***** [Registre - GUID] *****

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [1012 octets] - [02/08/2012 08:23:42]
AdwCleaner[S1].txt - [954 octets] - [02/08/2012 20:46:12]

########## EOF - C:\AdwCleaner[S1].txt - [1081 octets] ##########

Emsisoft-Log:

Code:

ATTFilter

Emsisoft Anti-Malware - Version 6.6
Letztes Update: 02.08.2012 20:52:03

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\, G:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:	02.08.2012 21:04:58

C:\WINDOWS\Glide2x.dll 	gefunden: Virus.Win32.Heri!E2
C:\System Volume Information\_restore{288809DF-85E5-4870-A708-329A0B8578B2}\RP87\A0014022.exe 	gefunden: Trojan.Win32.Weelsof.AMN!E1
C:\System Volume Information\_restore{288809DF-85E5-4870-A708-329A0B8578B2}\RP87\A0013017.exe 	gefunden: Trojan.Win32.Weelsof.AMN!E1
C:\System Volume Information\_restore{288809DF-85E5-4870-A708-329A0B8578B2}\RP87\A0015041.exe 	gefunden: Trojan.Win32.Weelsof.AMN!E1
C:\System Volume Information\_restore{288809DF-85E5-4870-A708-329A0B8578B2}\RP87\A0015043.exe 	gefunden: Trojan.Win32.Weelsof.AMN!E1
C:\System Volume Information\_restore{288809DF-85E5-4870-A708-329A0B8578B2}\RP46\A0005437.exe 	gefunden: Win32.Prorat!E2
C:\Spiele\TOMBRAID\Glide2x.dll 	gefunden: Virus.Win32.Heri!E2
C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\Thunderbird\Profiles\czhgh4jg.default\Mail\Local Folders\Robot.sbd\Roboterarchiv 	gefunden: Email-Worm.Win32.NetSky!E2
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\brtcnxcr.exe 	gefunden: Trojan.Win32.Weelsof.AMN!E1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wuowxsjw.exe 	gefunden: Trojan.Win32.Weelsof.AMN!E1
D:\Stuff\2001\Programme\Gehalt.exe 	gefunden: Riskware.Joke.Gehalt!E2
D:\Stuff\2001\Programme\Win2000.exe 	gefunden: Trojan.Win32.Spy!E2
E:\Backup\Programme\dgVoodoo v1.40plus.zip -> Glide2x.dll 	gefunden: Virus.Win32.Heri!E2
G:\Temp\Lieferung.zip -> Lieferung-17.05.2012.exe 	gefunden: Trojan.Win32.Matsnu!E2

Gescannt	632721
Gefunden	14

Scan Ende:	02.08.2012 23:21:42
Scan Zeit:	2:16:44

t'john · 03.08.2012, 13:03

Sehr gut!

Lasse die Funde loeschen, dann:

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

RobinSword · 04.08.2012, 06:26

Scan-Ergebnis ESET:

No Threats found

t'john · 04.08.2012, 15:08

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

Windows XP (nur 32-bit)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
Liste der zu deaktivierenden Programme.
Bei Unklarheiten bitte fragen.

ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
Während des Laufs von Combofix nichts anderes am Computer machen!
Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
Bitte nicht in dieses Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es wird ein Backup Deiner Registry erstellt.
Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

RobinSword · 04.08.2012, 19:03

Combofix-Logfile:

Code:

ATTFilter

ComboFix 12-08-04.02 - Robert 04.08.2012  19:54:27.1.2 - x86 NETWORK
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3070.2624 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Robert\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\Robert\WINDOWS
c:\windows\AppPatch\Custom\{deb7008b-681e-4a4a-8aae-cc833e8216ce}.sdb
c:\windows\IsUn0407.exe
c:\windows\system32\AC2005DLL.dll
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\regtlib.exe
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-07-04 bis 2012-08-04  ))))))))))))))))))))))))))))))
.
.
2012-08-03 17:38 . 2012-08-03 19:15	--------	d-----w-	c:\dokumente und einstellungen\Robert\Anwendungsdaten\EurekaLog
2012-08-01 16:10 . 2012-08-01 16:10	--------	d-----w-	C:\_OTL
2012-08-01 05:54 . 2008-12-22 08:42	952	--sha-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2012-07-31 20:56 . 2012-07-31 20:56	--------	d-----w-	c:\programme\ESET
2012-07-31 20:27 . 2012-07-31 20:27	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2201890D-F94F-4279-8868-B857D2FF34B7}\MpKslc4ca21b0.sys
2012-07-31 20:01 . 2012-07-31 20:01	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2201890D-F94F-4279-8868-B857D2FF34B7}\MpKsl433d7694.sys
2012-07-31 19:45 . 2012-07-31 20:00	--------	d-----w-	c:\programme\stinger
2012-07-31 07:46 . 2012-07-31 07:46	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-07-31 07:46 . 2012-07-03 11:46	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-07-30 23:19 . 2012-07-30 23:19	56200	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2201890D-F94F-4279-8868-B857D2FF34B7}\offreg.dll
2012-07-30 16:33 . 2012-06-29 08:44	6891424	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2201890D-F94F-4279-8868-B857D2FF34B7}\mpengine.dll
2012-07-29 08:01 . 2012-06-29 08:44	6891424	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-07-24 20:57 . 2012-07-24 21:27	--------	d-----w-	c:\dokumente und einstellungen\Robert\Anwendungsdaten\KeePass
2012-07-24 20:55 . 2012-07-24 21:25	--------	d-----w-	c:\programme\KeePass Password Safe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-30 16:29 . 2012-04-03 15:30	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-07-30 16:29 . 2011-06-02 08:26	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-25 14:04 . 2012-06-25 14:04	1394248	----a-w-	c:\windows\system32\msxml4.dll
2012-06-13 13:55 . 2004-08-04 12:00	1866240	----a-w-	c:\windows\system32\win32k.sys
2012-06-12 21:36 . 2009-09-27 19:13	86528	----a-w-	c:\windows\bnetunin.exe
2012-06-12 21:36 . 2009-09-27 19:13	61440	----a-w-	c:\windows\diabswun.exe
2012-06-05 15:49 . 2007-05-15 14:43	1372672	----a-w-	c:\windows\system32\msxml6.dll
2012-06-05 15:49 . 2004-08-04 12:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2004-08-04 12:00	152576	----a-w-	c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2008-11-06 21:35	15896	----a-w-	c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2007-05-23 17:41	18456	----a-w-	c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2006-10-13 12:46	329240	----a-w-	c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2006-10-13 12:46	219160	----a-w-	c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2006-10-13 12:46	210968	----a-w-	c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2007-05-23 17:41	15896	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2006-10-19 09:17	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2006-10-13 12:46	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2006-10-13 12:46	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 13:19 . 2004-08-04 12:00	97304	----a-w-	c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2007-05-23 17:41	23576	----a-w-	c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2006-10-13 12:46	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2006-10-13 12:46	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 13:18 . 2007-05-24 13:46	18160	----a-w-	c:\windows\system32\mucltui.dll.mui
2012-06-02 13:18 . 2006-12-09 21:55	275696	----a-w-	c:\windows\system32\mucltui.dll
2012-06-02 13:18 . 2005-05-26 03:19	214256	----a-w-	c:\windows\system32\muweb.dll
2012-05-31 13:19 . 2004-08-04 12:00	604672	----a-w-	c:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2004-08-04 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-05-15 10:18 . 2012-05-22 21:31	65536	----a-w-	c:\windows\system32\OpenCL.dll
2012-05-15 10:18 . 2011-12-26 19:58	883008	----a-w-	c:\windows\system32\nvgenco32.dll
2012-05-15 10:18 . 2011-12-26 19:58	18771968	----a-w-	c:\windows\system32\nvoglnt.dll
2012-05-15 10:18 . 2011-12-26 19:58	1000768	----a-w-	c:\windows\system32\nvdispco32.dll
2012-05-15 10:18 . 2011-02-16 09:41	6012928	----a-w-	c:\windows\system32\nvcuda.dll
2012-05-15 10:18 . 2011-02-16 09:41	2530624	----a-w-	c:\windows\system32\nvcuvid.dll
2012-05-15 10:18 . 2011-02-16 09:41	2445120	----a-w-	c:\windows\system32\nvcuvenc.dll
2012-05-15 10:18 . 2011-02-16 09:41	4373248	----a-w-	c:\windows\system32\nv4_disp.dll
2012-05-15 10:18 . 2011-02-16 09:41	2359808	----a-w-	c:\windows\system32\nvapi.dll
2012-05-15 10:18 . 2011-02-16 09:41	17543168	----a-w-	c:\windows\system32\nvcompiler.dll
2012-05-15 10:18 . 2011-02-16 09:41	14014656	----a-w-	c:\windows\system32\drivers\nv4_mini.sys
2012-05-15 09:43 . 2012-05-22 21:32	229376	----a-w-	c:\windows\system32\nvrszhc.dll
2012-05-15 09:43 . 2012-05-22 21:32	282624	----a-w-	c:\windows\system32\nvrsit.dll
2012-05-15 09:43 . 2012-05-22 21:32	253952	----a-w-	c:\windows\system32\nvrsth.dll
2012-05-15 09:43 . 2012-05-22 21:32	253952	----a-w-	c:\windows\system32\nvrssv.dll
2012-05-15 09:43 . 2012-05-22 21:32	126976	----a-w-	c:\windows\system32\nvrszht.dll
2012-05-15 09:43 . 2012-05-22 21:32	282624	----a-w-	c:\windows\system32\nvrsel.dll
2012-05-15 09:43 . 2012-05-22 21:32	274432	----a-w-	c:\windows\system32\nvrsnl.dll
2012-05-15 09:43 . 2012-05-22 21:32	274432	----a-w-	c:\windows\system32\nvrsesm.dll
2012-05-15 09:43 . 2012-05-22 21:32	266240	----a-w-	c:\windows\system32\nvrsko.dll
2012-05-15 09:43 . 2012-05-22 21:32	249856	----a-w-	c:\windows\system32\nvrseng.dll
2012-05-15 09:43 . 2012-05-22 21:32	335872	----a-w-	c:\windows\system32\nvrsar.dll
2012-05-15 09:43 . 2012-05-22 21:32	335872	----a-w-	c:\windows\system32\nvrshe.dll
2012-05-15 09:43 . 2012-05-22 21:32	286720	----a-w-	c:\windows\system32\nvrsfr.dll
2012-05-15 09:43 . 2012-05-22 21:32	274432	----a-w-	c:\windows\system32\nvrspt.dll
2012-05-15 09:43 . 2012-05-22 21:32	258048	----a-w-	c:\windows\system32\nvrssl.dll
2012-05-15 09:43 . 2012-05-22 21:32	253952	----a-w-	c:\windows\system32\nvrsno.dll
2012-05-15 09:43 . 2012-05-22 21:32	249856	----a-w-	c:\windows\system32\nvrsfi.dll
2012-05-15 09:43 . 2012-05-22 21:32	282624	----a-w-	c:\windows\system32\nvrses.dll
2012-05-15 09:43 . 2012-05-22 21:32	270336	----a-w-	c:\windows\system32\nvrsru.dll
2012-05-15 09:43 . 2012-05-22 21:32	258048	----a-w-	c:\windows\system32\nvrssk.dll
2012-05-15 09:43 . 2012-05-22 21:32	262144	----a-w-	c:\windows\system32\nvrshu.dll
2012-05-15 09:43 . 2012-05-22 21:32	258048	----a-w-	c:\windows\system32\nvrstr.dll
2012-05-15 09:43 . 2012-05-22 21:32	253952	----a-w-	c:\windows\system32\nvrsda.dll
2012-05-15 09:43 . 2012-05-22 21:32	274432	----a-w-	c:\windows\system32\nvrsja.dll
2012-05-15 09:43 . 2012-05-22 21:32	258048	----a-w-	c:\windows\system32\nvrspl.dll
2012-05-15 09:43 . 2012-05-22 21:32	278528	----a-w-	c:\windows\system32\nvrsde.dll
2012-05-15 09:43 . 2012-05-22 21:32	270336	----a-w-	c:\windows\system32\nvrsptb.dll
2012-05-15 09:43 . 2012-05-22 21:32	249856	----a-w-	c:\windows\system32\nvrscs.dll
2012-05-15 09:40 . 2012-05-22 21:32	54272	----a-w-	c:\windows\system32\nvwddi.dll
2012-05-15 09:40 . 2012-05-22 21:32	15504192	----a-w-	c:\windows\system32\nvcpl.dll
2012-05-15 09:40 . 2012-05-22 21:32	143680	----a-w-	c:\windows\system32\nvcolor.exe
2012-05-15 09:40 . 2012-05-22 21:32	164160	----a-w-	c:\windows\system32\nvsvc32.exe
2012-05-15 09:40 . 2012-05-22 21:32	108352	----a-w-	c:\windows\system32\nvmctray.dll
2012-05-11 14:40 . 2004-08-04 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2004-08-04 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2004-08-04 12:00	385024	----a-w-	c:\windows\system32\html.iec
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTHelper"="CTHELPER.EXE" [2008-02-20 19456]
"CTxfiHlp"="CTXFIHLP.EXE" [2010-05-05 25600]
"TrayServer"="c:\progra~1\MAGIX\VIDEO_~1\TrayServer_de.exe" [2008-08-07 90112]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2011-08-10 1313640]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2012-05-15 15504192]
"NvMediaCenter"="NvMCTray.dll" [2012-05-15 108352]
"RIMBBLaunchAgent.exe"="c:\programme\Gemeinsame Dateien\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe" [2011-11-02 90448]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
" Malwarebytes Anti-Malware "="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
"OTL"="c:\tools\OTL\OTL.exe" [2012-07-31 597504]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2011-07-27 434080]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)
"NoFileAssociate"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\WS_FTP Pro\\ftp95pro.exe"=
"c:\\Spiele\\Siedler 3\\s3.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Spiele\\Two Worlds\\TwoWorlds.exe"=
"c:\\Spiele\\Two Worlds\\TwoWorlds_RADEON.exe"=
"c:\\Programme\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=
"c:\\Spiele\\Age of Empires II\\EMPIRES2.ICD"=
"c:\\Programme\\Corel\\DVD9\\WinDVD.exe"=
"c:\\Tools\\FtpDir.exe"=
"c:\\Spiele\\TmNationsForever\\TmForever.exe"=
"c:\\Spiele\\Blobby\\volley.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"e:\\Spiele\\Siedler 6\\base\\bin\\Settlers6.exe"=
"e:\\Spiele\\UT3Demo\\Binaries\\UT3Demo.exe"=
"c:\\Spiele\\Two Worlds II\\TwoWorlds2.exe"=
"e:\\Spiele\\Cryptic Studios\\Star Trek Online\\Live\\GameClient.exe"=
"c:\\Spiele\\Titan Quest Immortal Throne\\Tqit.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
"c:\\Programme\\NVIDIA Corporation\\NVIDIA Update Core\\daemonu.exe"=
"c:\\Programme\\Research In Motion\\BlackBerry Desktop\\Rim.Desktop.exe"=
"c:\\Programme\\ElsterFormular\\bin\\installationsverwaltung.exe"=
.
R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [05.12.2008 22:59 39472]
R1 UGURU;UGURU;c:\windows\system32\drivers\uGuru.sys [28.05.2007 17:28 14592]
S1 MpKslc4ca21b0;MpKslc4ca21b0;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2201890D-F94F-4279-8868-B857D2FF34B7}\MpKslc4ca21b0.sys [31.07.2012 22:27 29904]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [19.01.2009 20:31 277544]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [27.08.2009 17:09 1253376]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [31.07.2012 09:46 655944]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe [22.05.2012 23:32 1262400]
S2 regi;regi;c:\windows\system32\drivers\regi.sys [17.04.2007 20:09 11032]
S2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [21.06.2012 05:01 92632]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [19.10.2009 20:11 79360]
S3 CT20XUT.SYS;CT20XUT.SYS;c:\windows\system32\drivers\CT20XUT.sys [08.10.2008 02:21 171096]
S3 CT20XUT;CT20XUT;c:\windows\system32\drivers\CT20XUT.sys [08.10.2008 02:21 171096]
S3 CTEXFIFX.SYS;CTEXFIFX.SYS;c:\windows\system32\drivers\CTEXFIFX.sys [08.10.2008 02:21 1324120]
S3 CTEXFIFX;CTEXFIFX;c:\windows\system32\drivers\CTEXFIFX.sys [08.10.2008 02:21 1324120]
S3 CTHWIUT.SYS;CTHWIUT.SYS;c:\windows\system32\drivers\CTHWIUT.sys [08.10.2008 02:21 72792]
S3 CTHWIUT;CTHWIUT;c:\windows\system32\drivers\CTHWIUT.sys [08.10.2008 02:21 72792]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 11:10 3276800]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [18.03.2010 23:57 36608]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [31.07.2012 09:46 22344]
S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\drivers\motccgp.sys [14.01.2009 21:36 18688]
S3 motccgpfl;MotCcgpFlService;c:\windows\system32\drivers\motccgpfl.sys [14.01.2009 21:36 8320]
S3 MotDev;Motorola Inc. USB Device;c:\windows\system32\drivers\motodrv.sys [14.01.2009 21:36 42112]
S3 RTCore32;RTCore32;c:\programme\EVGA Precision\RTCore32.sys [25.05.2005 21:39 4608]
S3 SaiHFF04;SaiHFF04;c:\windows\system32\drivers\SaiHFF04.sys [03.11.2005 10:52 176640]
S3 SaiIFF04;Immersion's HID USB Driver (FF04);c:\windows\system32\drivers\SaiIFF04.sys [03.11.2005 10:52 16768]
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-07 c:\windows\Tasks\Microsoft_Hardware_Launch_IType_exe.job
- c:\programme\Microsoft IntelliType Pro\itype.exe [2011-08-10 15:39]
.
2012-08-03 c:\windows\Tasks\MpIdleTask.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-03-26 15:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = http://www.trojaner-board.de/
TCP: DhcpNameServer = 192.168.2.1
DPF: {E705A591-DA3C-4228-B0D5-A356DBA42FBF} - hxxp://ccfiles.creative.com/Web/softwareupdate/su2/ocx/20015/CTSUEng.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-RunOnce- Malwarebytes Anti-Malware  (cleanup) - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll
SafeBoot-WudfPf
SafeBoot-WudfRd
AddRemove-Myst Masterpiece Edition - c:\windows\IsUn0407.exe
AddRemove-S3 - c:\windows\IsUn0407.exe
AddRemove-Tomb Raider II - c:\windows\IsUn0407.exe
AddRemove-Tomb Raider II Gold - c:\windows\IsUn0407.exe
AddRemove-Tomb Raider III - c:\windows\IsUn0407.exe
AddRemove-www.mondgesaenge.de - G1DB - h:\g1db\g1db-uninst.exe
AddRemove-www.mondgesaenge.de - G2ADB - h:\g2adb\g2adb-uninst.exe
AddRemove-www.mondgesaenge.de - G2DB - h:\g2db\g2db-uninst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-08-04 19:58
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  CTxfiHlp = CTXFIHLP.EXE? 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,bf,26,c6,14,9e,b1,31,40,b9,b0,a4,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,bf,26,c6,14,9e,b1,31,40,b9,b0,a4,\
.
[HKEY_USERS\S-1-5-21-3413822986-461768239-2665817779-1006\Software\SecuROM\License information*]
"datasecu"=hex:e1,69,d3,2d,aa,ea,a4,7c,2d,2e,c1,20,cb,ff,d1,62,e7,4d,0a,19,d1,
   df,91,59,23,52,cc,72,f4,23,be,57,4b,56,fa,ea,98,ec,e9,98,83,85,a3,40,a2,8c,\
"rkeysecu"=hex:91,85,5c,b2,54,f1,3e,d9,b5,8a,7e,37,7f,c1,5b,61
.
[HKEY_LOCAL_MACHINE\software\Philips\GoGear SA19xx]
@DACL=(02 0000)
.
Zeit der Fertigstellung: 2012-08-04  20:00:06
ComboFix-quarantined-files.txt  2012-08-04 18:00
.
Vor Suchlauf: 7.723.986.944 Bytes frei
Nach Suchlauf: 7.833.026.560 Bytes frei
.
- - End Of File - - F270F68932ECEAD14217824C35575C96

t'john · 04.08.2012, 20:23

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 5 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.