PC gesperrt, Windows XP

Wobichta · 25.12.2012, 15:11

Tut mir leid, dass es solange gedauert hat.

Zitat:

---start---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 883E-D344

Verzeichnis von c:\windows

11.09.2008 07:40 57.344 ALCMTR.EXE
11.09.2008 07:40 2.808.832 ALCWZRD.EXE
14.04.2008 13:00 1.036.800 explorer.exe
14.04.2008 13:00 10.752 hh.exe
18.09.2008 09:47 319.488 HideWin.exe
07.11.2002 11:35 159.744 MakeMrk.exe
11.09.2008 07:43 2.165.760 MicCal.exe
14.04.2008 13:00 70.144 NOTEPAD.EXE
14.04.2008 13:00 153.600 regedit.exe
11.09.2008 07:45 16.851.456 RTHDCPL.EXE
11.09.2008 07:47 9.715.200 RTLCPL.EXE
11.09.2008 07:47 1.200.128 RtlUpd.exe
11.09.2008 07:48 1.826.816 SkyTel.exe
11.09.2008 07:48 77.824 SOUNDMAN.EXE
14.04.2008 13:00 15.872 TASKMAN.EXE
11.05.2005 16:00 245.760 TBTdetect.exe
14.04.2008 13:00 49.680 twunk_16.exe
14.04.2008 13:00 25.600 twunk_32.exe
14.04.2008 13:00 257.568 winhelp.exe
14.04.2008 13:00 288.768 winhlp32.exe
20 Datei(en) 37.337.136 Bytes
0 Verzeichnis(se), 94.677.659.648 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 883E-D344

Verzeichnis von C:\Dokumente und Einstellungen\alicia\Anwendungsdaten

13.10.2012 20:33 <DIR> .
13.10.2012 20:33 <DIR> ..
09.09.2012 11:31 <DIR> Adobe
04.02.2010 19:37 <DIR> Apple Computer
09.09.2012 11:32 <DIR> com.schroedel.bioheuteeinleger
18.09.2008 10:05 62 desktop.ini
02.07.2009 19:40 <DIR> Google
24.09.2008 11:13 <DIR> Identities
24.09.2008 11:13 <DIR> InstallShield
12.04.2009 13:28 <DIR> Macromedia
14.09.2012 15:43 <DIR> Microsoft
09.06.2009 20:18 <DIR> Mozilla
27.05.2009 17:37 <DIR> MSNInstaller
13.10.2012 20:33 <DIR> OpenOffice.org
02.07.2010 21:16 138.056 PnkBstrK.sys
14.09.2012 21:39 <DIR> Skype
06.03.2012 21:15 <DIR> skypePM
28.10.2012 23:52 <DIR> SoftGrid Client
10.12.2012 20:41 <DIR> Spotify
24.09.2008 11:13 <DIR> Sun
02.10.2012 16:28 <DIR> Temp
14.02.2010 18:34 <DIR> Toshiba
09.09.2012 10:55 <DIR> TP
02.10.2012 17:42 <DIR> Visan
2 Datei(en) 138.118 Bytes
22 Verzeichnis(se), 94.677.659.648 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 883E-D344

Verzeichnis von C:\Dokumente und Einstellungen\All Users

02.10.2012 16:43 <DIR> .
02.10.2012 16:43 <DIR> ..
10.12.2012 20:50 <DIR> Anwendungsdaten
13.10.2012 20:30 <DIR> Desktop
09.09.2012 10:48 <DIR> Dokumente
19.09.2010 10:58 <DIR> DRM
18.09.2008 10:05 <DIR> Favoriten
02.10.2012 16:43 <DIR> Kodak
09.09.2012 10:48 <DIR> Microsoft
12.04.2009 10:38 262.144 NTUSER.DAT
12.04.2009 10:38 1.024 NTUSER.DAT.LOG
10.03.2012 20:32 <DIR> Startmen
13.10.2012 20:30 <DIR> Vorlagen
2 Datei(en) 263.168 Bytes
11 Verzeichnis(se), 94.677.659.648 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 883E-D344

Verzeichnis von C:\Programme

05.12.2012 15:33 <DIR> .
05.12.2012 15:33 <DIR> ..
09.09.2012 11:31 <DIR> Adobe
18.09.2008 09:51 <DIR> Atheros
15.04.2009 15:26 <DIR> Bonjour
12.04.2009 10:40 <DIR> Camera Assistant Software for Toshiba
18.09.2008 09:09 <DIR> ComPlus Applications
02.07.2010 20:25 <DIR> EA Games
03.07.2010 13:22 <DIR> Gameforge4D
09.09.2012 11:31 <DIR> Gemeinsame Dateien
10.10.2012 13:32 <DIR> Google
03.12.2009 15:31 <DIR> ICQ6Toolbar
11.07.2009 18:09 <DIR> InstallShield Installation Information
18.09.2008 09:43 <DIR> Intel
22.09.2012 10:18 <DIR> Internet Explorer
18.09.2008 09:41 <DIR> Java
02.10.2012 16:37 <DIR> Kodak
14.02.2010 12:32 <DIR> McAfee
26.06.2012 03:22 <DIR> McAfee Security Scan
24.09.2008 11:17 <DIR> McAfee.com
13.04.2009 11:06 <DIR> Messenger
01.04.2010 16:44 <DIR> Messenger Plus! Live
20.01.2012 23:05 <DIR> Microsoft
09.09.2012 10:49 <DIR> Microsoft Application Virtualization Client
24.09.2008 11:17 <DIR> microsoft frontpage
09.09.2012 10:48 <DIR> Microsoft Office
11.05.2012 11:07 <DIR> Microsoft Silverlight
27.11.2009 23:43 <DIR> Microsoft SQL Server Compact Edition
27.11.2009 23:45 <DIR> Microsoft Sync Framework
22.08.2010 11:25 <DIR> Movie Maker
05.12.2012 15:34 <DIR> Mozilla Firefox
09.12.2012 14:38 <DIR> Mozilla Maintenance Service
29.08.2009 02:00 <DIR> MSBuild
27.05.2009 17:36 <DIR> MSN
18.09.2008 09:09 <DIR> MSN Gaming Zone
18.09.2008 09:38 <DIR> MSXML 4.0
02.10.2012 16:35 <DIR> MSXML 6.0
24.02.2010 19:50 <DIR> NetMeeting
06.09.2009 17:04 <DIR> Norton Security Scan
06.09.2009 17:03 <DIR> NortonInstaller
24.09.2008 11:17 <DIR> Online Services
24.09.2008 11:17 <DIR> Online-Dienste
13.10.2012 20:28 <DIR> OpenOffice.org 3
21.12.2010 16:18 <DIR> Outlook Express
02.10.2012 17:41 <DIR> PrintProjects
15.04.2009 15:26 <DIR> QuickTime
18.09.2008 09:50 <DIR> Realtek
29.08.2009 02:00 <DIR> Reference Assemblies
13.09.2012 22:16 <DIR> Skype
23.02.2010 17:49 <DIR> SweetIM
18.09.2008 09:50 <DIR> Synaptics
10.10.2012 13:21 <DIR> Toshiba
18.09.2008 09:14 <DIR> Uninstall Information
16.10.2012 17:23 <DIR> White Dog Soft
21.01.2012 14:48 <DIR> Windows Live
27.05.2009 17:58 <DIR> Windows Live SkyDrive
09.05.2010 14:59 <DIR> Windows Media Connect 2
10.05.2010 04:52 <DIR> Windows Media Player
11.03.2012 13:41 <DIR> Windows NT
18.09.2008 09:10 <DIR> WindowsUpdate
24.09.2008 11:18 <DIR> xerox
0 Datei(en) 0 Bytes
61 Verzeichnis(se), 94.677.659.648 Bytes frei
---ende---

ryder · 25.12.2012, 16:00

Da sieht man auch nix, ich habe jetzt leider nur noch eine Sache, die ich nachsehen könnte. Probier mal diese Batchdatei so wie bisher auch:

Code:

ATTFilter

@echo off
set log=%0\..\look.txt
echo ---start--- > %log%
dir /a /s c:\infocard.exe
dir /a /s c:\dsg*.*
dir /a /s c:\wgsd*.*
dir /a /s c:\lsass.exe
dir /a /s c:\runctf.lnk
dir /a /s "%homepath%\*.lnk"
echo ---end--- >> %log%

Wobichta · 25.12.2012, 18:15

Da stand dann in dieser Datei nur start:
Und kann man den Computer nicht irgendwie komplett 'löschen' und die Dateien danach wiederherstellen? Btw: Ich habe den infizierten PC normal hochgefahren. Sonst kam ja erst der normale Desktop, es wurde nichts geladen, dann der Bildschirmschoner und dann der Bildschrim von wegen ich sollte zahlen. Nun habe ich bevor der Schoner kam einfach mal einen Ordner auf dem Bildschirm geöffnet, allerdings war der PC total langsam und hat dann angefangen die Startprogramme, Spotify, MSN etc zu öffnen. Da aber die Lampe neben meiner Webcam dauerhaft leuchtet, ich allerdings kein Programm, dass die Kamera benötigt offen habe, vermute ich mal ganz stark, dass der Virus noch drauf ist? Ich habe jetzt erstmal eine SD-Karte an den infizierten Rechner angeschlossen und die Ordner die mir wichtig sind darauf kopiert, bzw es laeuft noch. Wie soll ich denn jetzt weiter vorgehen?

Achso: Ich habe noch die Internetverbindung deaktiviert

ryder · 25.12.2012, 18:19

Wie du kommst in den Rechner rein und wir wurscheln hier die ganze Zeit rum?

Dann kopiere dir mal OTL auf deine SD Karte und mache folgendes:

Kontrollscan mit OTL

Starte bitte OTL.exe - falls noch nicht vorhanden: LINK

Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!

Drücke den Quick Scan Button.

Poste die OTL.txt hier in deinen Thread.

Wobichta · 25.12.2012, 20:14

...

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 25.12.2012 19:34:21 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = D:\
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1013,88 Mb Total Physical Memory | 386,68 Mb Available Physical Memory | 38,14% Memory free
2,39 Gb Paging File | 1,75 Gb Available in Paging File | 73,33% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 111,79 Gb Total Space | 87,18 Gb Free Space | 77,99% Space Free | Partition Type: NTFS
Drive D: | 3,67 Gb Total Space | 3,67 Gb Free Space | 99,93% Space Free | Partition Type: FAT32
 
Computer Name: YOUR-227984B13D | User Name: alicia | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.12.25 18:23:00 | 000,602,112 | ---- | M] (OldTimer Tools) -- D:\OTL.exe
PRC - [2012.10.27 20:23:34 | 007,880,664 | ---- | M] (Spotify Ltd) -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Spotify\spotify.exe
PRC - [2012.10.27 20:23:32 | 001,199,576 | ---- | M] (Spotify Ltd) -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Spotify\Data\SpotifyWebHelper.exe
PRC - [2012.10.02 12:13:44 | 003,064,000 | ---- | M] (Skype Technologies S.A.) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe
PRC - [2012.06.19 12:44:22 | 000,777,728 | ---- | M] (Eastman Kodak Company) -- C:\Programme\Kodak\AiO\StatusMonitor\EKPrinterSDK.exe
PRC - [2012.06.18 20:13:46 | 000,394,712 | ---- | M] (Eastman Kodak Company) -- C:\Programme\Kodak\AiO\Center\EKAiOHostService.exe
PRC - [2012.02.07 19:54:54 | 000,822,624 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Virtualization Handler\CVHSVC.EXE
PRC - [2011.10.01 00:30:42 | 000,219,496 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Application Virtualization Client\sftvsa.exe
PRC - [2011.10.01 00:30:36 | 000,508,776 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Application Virtualization Client\sftlist.exe
PRC - [2011.06.17 18:33:04 | 000,272,528 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee Security Scan\3.0.207\SSScheduler.exe
PRC - [2010.02.11 12:36:12 | 000,262,168 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\MSC\mcsvrcnt.exe
PRC - [2009.11.04 16:53:34 | 000,144,704 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan\Mcshield.exe
PRC - [2009.11.04 15:59:50 | 000,606,736 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan\mcsysmon.exe
PRC - [2009.10.29 06:54:44 | 001,218,008 | ---- | M] (McAfee, Inc.) -- c:\Programme\McAfee.com\Agent\mcagent.exe
PRC - [2009.10.29 06:54:44 | 000,865,832 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\MSC\mcmscsvc.exe
PRC - [2009.10.29 06:54:44 | 000,378,088 | ---- | M] (McAfee, Inc.) -- c:\Programme\McAfee\MSC\mcupdui.exe
PRC - [2009.10.27 11:19:46 | 000,895,696 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\MPF\MpfSrv.exe
PRC - [2009.10.02 13:02:56 | 000,026,640 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\MSK\msksrver.exe
PRC - [2009.07.08 11:54:34 | 000,359,952 | ---- | M] (McAfee, Inc.) -- c:\Programme\Gemeinsame Dateien\McAfee\McProxy\McProxy.exe
PRC - [2009.07.07 19:10:02 | 002,482,848 | ---- | M] (McAfee, Inc.) -- c:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe
PRC - [2008.08.29 09:33:20 | 000,033,792 | ---- | M] (TOSHIBA Corp.) -- C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
PRC - [2008.08.26 20:55:54 | 000,083,312 | ---- | M] (TOSHIBA Corporation) -- C:\Programme\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe
PRC - [2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.04.14 01:10:52 | 000,467,028 | ---- | M] (Atheros) -- C:\WINDOWS\system32\acs.exe
PRC - [2007.11.21 17:23:32 | 000,129,632 | ---- | M] (TOSHIBA Corporation) -- C:\WINDOWS\system32\TODDSrv.exe
PRC - [2005.01.17 15:38:00 | 000,040,960 | ---- | M] (TOSHIBA CORPORATION) -- C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.11.14 03:46:50 | 000,169,984 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Inkjet.Automation\3f6b19a0213232589d46f26757354ddf\Inkjet.Automation.ni.dll
MOD - [2012.11.14 03:44:41 | 000,098,304 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Inkjet.DeviceSettin#\db05a92be2b68ef0a1d0489557a15063\Inkjet.DeviceSettings.ni.dll
MOD - [2012.11.14 03:41:43 | 000,771,584 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\d7ec47c4afad694faa491abd6b45928a\System.Runtime.Remoting.ni.dll
MOD - [2012.11.14 03:40:17 | 000,106,496 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Inkjet.Diagnostics\c2592c58b5d9d38bc6ed8b31be1b41e5\Inkjet.Diagnostics.ni.dll
MOD - [2012.11.14 03:40:14 | 000,237,056 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Inkjet.Localization\a1f70e04ddf82eae6ec4cab423bfb4e4\Inkjet.Localization.ni.dll
MOD - [2012.11.14 03:40:02 | 000,286,720 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Inkjet.Utilities\a5d8e058fb4d80472782d876403a2e01\Inkjet.Utilities.ni.dll
MOD - [2012.11.14 03:39:39 | 000,832,000 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Inkjet.Hardware\0bae389db8c5419c350dcbef9d3ff678\Inkjet.Hardware.ni.dll
MOD - [2012.11.14 03:39:30 | 000,080,896 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Inkjet.Configuration\c7a97ccf68c85912eec64b2401fe9bbe\Inkjet.Configuration.ni.dll
MOD - [2012.11.14 03:39:27 | 000,181,248 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Inkjet.Statistics\17dab39fb76367809659a5a584266306\Inkjet.Statistics.ni.dll
MOD - [2012.11.14 03:38:47 | 000,971,264 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\41cac4885974d07de06f0b4fec9883f0\System.Configuration.ni.dll
MOD - [2012.11.14 03:35:35 | 005,450,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\d35b50eb6bb7b1bfb6592419d9feba47\System.Xml.ni.dll
MOD - [2012.11.14 03:34:41 | 012,433,920 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\6585a5fcaaa1b49b9a1bd9ca5c5c306e\System.Windows.Forms.ni.dll
MOD - [2012.11.14 03:32:23 | 001,592,320 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\da4bcb702feb770ce40cf1371b0c4d02\System.Drawing.ni.dll
MOD - [2012.11.14 03:19:44 | 007,977,472 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\90ad0c96693527ae685ff40019bb33b0\System.ni.dll
MOD - [2012.11.14 03:18:06 | 011,492,352 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\3add69b075f3da012fb97ce00cd795c0\mscorlib.ni.dll
MOD - [2012.10.27 20:23:33 | 020,220,376 | ---- | M] () -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Spotify\Data\libcef.dll
MOD - [2008.09.18 09:37:15 | 000,311,296 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll
MOD - [2008.09.18 09:37:14 | 000,208,896 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.resources\2.0.0.0_de_b77a5c561934e089\System.resources.dll
MOD - [2008.04.14 13:00:00 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll
MOD - [2006.08.24 12:17:52 | 000,004,096 | ---- | M] () -- C:\Programme\Messenger Plus! Live\Detoured.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.12.05 03:59:08 | 000,115,168 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.10.08 23:51:55 | 000,250,808 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.10.02 12:13:44 | 003,064,000 | ---- | M] (Skype Technologies S.A.) [Auto | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service)
SRV - [2012.07.13 12:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.06.19 12:44:22 | 000,777,728 | ---- | M] (Eastman Kodak Company) [Auto | Running] -- C:\Programme\Kodak\AiO\StatusMonitor\EKPrinterSDK.exe -- (Kodak AiO Status Monitor Service)
SRV - [2012.06.18 20:13:46 | 000,394,712 | ---- | M] (Eastman Kodak Company) [Auto | Running] -- C:\Programme\Kodak\AiO\Center\EKAiOHostService.exe -- (Kodak AiO Network Discovery Service)
SRV - [2012.02.07 19:54:54 | 000,822,624 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Virtualization Handler\CVHSVC.EXE -- (cvhsvc)
SRV - [2011.10.01 00:30:42 | 000,219,496 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Programme\Microsoft Application Virtualization Client\sftvsa.exe -- (sftvsa)
SRV - [2011.10.01 00:30:36 | 000,508,776 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft Application Virtualization Client\sftlist.exe -- (sftlist)
SRV - [2011.06.17 18:33:04 | 000,237,008 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Programme\McAfee Security Scan\3.0.207\McCHSvc.exe -- (McComponentHostService)
SRV - [2011.04.05 18:08:44 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2011.04.05 18:08:12 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009.11.04 16:53:34 | 000,144,704 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\VirusScan\Mcshield.exe -- (McShield)
SRV - [2009.11.04 15:59:50 | 000,606,736 | ---- | M] (McAfee, Inc.) [On_Demand | Running] -- C:\Programme\McAfee\VirusScan\mcsysmon.exe -- (McSysmon)
SRV - [2009.10.29 06:54:44 | 000,865,832 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\MSC\mcmscsvc.exe -- (mcmscsvc)
SRV - [2009.10.28 11:50:32 | 000,365,072 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Programme\McAfee\VirusScan\mcods.exe -- (McODS)
SRV - [2009.10.27 11:19:46 | 000,895,696 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\MPF\MpfSrv.exe -- (MpfService)
SRV - [2009.10.02 13:02:56 | 000,026,640 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\MSK\msksrver.exe -- (MSK80Service)
SRV - [2009.07.08 11:54:34 | 000,359,952 | ---- | M] (McAfee, Inc.) [Auto | Running] -- c:\Programme\Gemeinsame Dateien\McAfee\McProxy\McProxy.exe -- (McProxy)
SRV - [2009.07.07 19:10:02 | 002,482,848 | ---- | M] (McAfee, Inc.) [Auto | Running] -- c:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe -- (McNASvc)
SRV - [2008.08.29 09:33:20 | 000,033,792 | ---- | M] (TOSHIBA Corp.) [Auto | Running] -- C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe -- (TAPPSRV)
SRV - [2008.08.26 20:55:54 | 000,083,312 | ---- | M] (TOSHIBA Corporation) [Auto | Running] -- C:\Programme\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe -- (TNaviSrv)
SRV - [2008.04.14 01:10:52 | 000,467,028 | ---- | M] (Atheros) [Auto | Running] -- C:\WINDOWS\system32\acs.exe -- (ACS)
SRV - [2007.11.21 17:23:32 | 000,129,632 | ---- | M] (TOSHIBA Corporation) [Auto | Running] -- C:\WINDOWS\system32\TODDSrv.exe -- (TODDSrv)
SRV - [2005.01.17 15:38:00 | 000,040,960 | ---- | M] (TOSHIBA CORPORATION) [Auto | Running] -- C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe -- (CFSvcs)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts5161ccid.sys -- (USBCCID)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (Tosrfcom)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (Rts516xIR)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2011.10.01 00:30:42 | 000,018,280 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Sftvolxp.sys -- (Sftvol)
DRV - [2011.10.01 00:30:40 | 000,020,584 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Sftredirxp.sys -- (Sftredir)
DRV - [2011.10.01 00:30:38 | 000,209,512 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Sftplayxp.sys -- (Sftplay)
DRV - [2011.10.01 00:30:36 | 000,584,680 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Sftfsxp.sys -- (Sftfs)
DRV - [2009.11.04 16:54:12 | 000,214,664 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2009.11.04 16:54:12 | 000,079,816 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2009.11.04 16:54:12 | 000,040,552 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfesmfk.sys -- (mfesmfk)
DRV - [2009.11.04 16:54:12 | 000,035,272 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (mfebopk)
DRV - [2009.11.04 16:53:40 | 000,034,248 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mferkdk.sys -- (mferkdk)
DRV - [2009.07.16 12:32:26 | 000,120,136 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\Mpfp.sys -- (MPFP)
DRV - [2008.09.11 07:46:46 | 004,813,312 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2008.09.04 09:23:52 | 000,157,696 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RTS5121.sys -- (RSUSBSTOR)
DRV - [2008.08.26 20:20:42 | 000,279,376 | ---- | M] (TOSHIBA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\tos_sps32.sys -- (tos_sps32)
DRV - [2008.08.13 07:51:22 | 000,106,368 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2008.07.15 18:59:06 | 000,017,960 | ---- | M] (Chicony Electronics Co., Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\UVCFTR_S.SYS -- (UVCFTR)
DRV - [2008.04.08 17:45:42 | 001,309,504 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416)
DRV - [2008.02.08 08:46:36 | 000,057,408 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wsimd.sys -- (WSIMD)
DRV - [2007.04.04 07:56:48 | 000,005,888 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\FwLnk.sys -- (FwLnk)
DRV - [2007.03.26 11:22:18 | 000,105,856 | ---- | M] (TOSHIBA Corporation) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\tdudf.sys -- (tdudf)
DRV - [2007.02.19 11:15:32 | 000,134,016 | ---- | M] (TOSHIBA Corporation) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\trudf.sys -- (trudf)
DRV - [2006.10.23 15:32:20 | 000,009,216 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tosrfec.sys -- (tosrfec)
DRV - [2006.10.18 11:50:04 | 000,016,128 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tdcmdpst.sys -- (tdcmdpst)
DRV - [2003.01.29 13:35:00 | 000,012,032 | ---- | M] (TOSHIBA Corporation.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\Netdevio.sys -- (Netdevio)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.sweetim.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = Upgrade to Google Chrome
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Upgrade to Google Chrome
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
 
IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Upgrade to Google Chrome
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://freeart1cile.com
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Upgrade to Google Chrome
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\URLSearchHook:  - No CLSID value found
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\SearchScopes,DefaultScope = {6552C7DD-90A4-4387-B795-F8F96747DE19}
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IEFM1&src=IE-SearchBox
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\SearchScopes\{AB0C9B4F-64DB-426B-91D0-5A6B9D60F8C4}: "URL" = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8&rlz=1I7TSED_de
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "https://www.google.de/search?q=wie+reitet+man+richtig&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a|hxxp://www.pferd-erklaert.de/category/reiten/die-anfange/|hxxp://www.pferd-erklaert.de/2009/11/reiter-hilfen-beidseitige-gewichtshilfen-kreuz-anspannen/|hxxp://www.pferd-erklaert.de/2009/11/die-hilfen-teil-2-einseitige-gewichtshilfen/|hxxp://www.pferd-erklaert.de/2010/04/hilfen-teil-4-die-zuegelhilfen/|hxxp://www.pferd-erklaert.de/2009/11/hilfen-teil-1-schenkelhilfen/|hxxp://www.pferd-erklaert.de/2010/04/problem-pferd-will-nicht-angaloppieren/|hxxp://www.pferd-erklaert.de/2010/04/sitzlehre-reitlehre-der-knieschluss/|hxxp://www.pferd-erklaert.de/2010/04/problem-pferd-steht-beim-aufsteigen-nicht-still/"
FF - prefs.js..extensions.enabledAddons: plugin%40starstable.com:1.0.0.2
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0.1
FF - prefs.js..extensions.enabledItems: battlefieldheroespatcher@ea.com:5.0.18.0
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.4
FF - prefs.js..extensions.enabledItems: {EEE6C361-6118-11DC-9C72-001320C79847}:1.0.0.9
FF - prefs.js..keyword.URL: "hxxp://search.sweetim.com/search.asp?barid={9F0A3FD0-D686-452A-A83D-869E8ACE0A9D}&src=2&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.startup.homepage: "hxxp://start.icq.com/"
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "hxxp://search.sweetim.com/search.asp?barid={9F0A3FD0-D686-452A-A83D-869E8ACE0A9D}&src=2&q="
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MI1933~1\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8117.0416: C:\Programme\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@rocketlife.com/RocketLife Secure Plug-In Layer;version=1.0.5: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Visan\plugins\npRLSecurePluginLayer.dll (RocketLife, LLP)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.12.05 03:59:14 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.12.05 03:58:38 | 000,000,000 | ---D | M]
 
[2009.06.09 20:18:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Extensions
[2012.11.05 21:38:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\extensions
[2010.07.02 20:24:34 | 000,000,000 | ---D | M] (Battlefield Heroes Updater) -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\extensions\battlefieldheroespatcher@ea.com
[2012.09.02 13:16:11 | 000,000,000 | ---D | M] ("Star Stable Online") -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\extensions\plugin@starstable.com
[2012.02.20 21:38:38 | 000,020,591 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}.xpi
[2012.11.05 21:38:48 | 000,189,128 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
[2012.12.03 11:24:12 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\searchplugins\icqplugin-1.xml
[2010.04.01 16:37:17 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\searchplugins\icqplugin-10.xml
[2009.08.06 00:28:20 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\searchplugins\icqplugin-2.xml
[2009.08.06 00:28:52 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\searchplugins\icqplugin-3.xml
[2009.08.06 06:22:12 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\searchplugins\icqplugin-4.xml
[2009.09.11 14:49:02 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\searchplugins\icqplugin-5.xml
[2009.11.02 14:53:36 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\searchplugins\icqplugin-6.xml
[2009.12.19 20:03:41 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\searchplugins\icqplugin-7.xml
[2010.01.08 15:56:01 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\searchplugins\icqplugin-8.xml
[2010.02.20 16:08:23 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\searchplugins\icqplugin-9.xml
[2009.07.18 22:40:57 | 000,000,944 | ---- | M] () -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\searchplugins\icqplugin.xml
[2010.02.23 17:49:09 | 000,003,915 | ---- | M] () -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\searchplugins\sweetim.xml
[2012.12.05 03:58:22 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.12.05 03:58:20 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2012.12.05 03:58:21 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012.12.05 03:59:13 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.02.20 08:28:55 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.08.31 06:48:49 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.02.20 08:28:55 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.20 08:28:55 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.02.20 08:28:55 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.20 08:28:55 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\Programme\McAfee\MSK\mskapbho.dll ()
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll (McAfee, Inc.)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [ACU] C:\Programme\Atheros\ACU.exe (Atheros Communications, Inc.)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [Camera Assistant Software] C:\Programme\Camera Assistant Software for Toshiba\traybar.exe (Chicony)
O4 - HKLM..\Run: [CFSServ.exe] CFSServ.exe -NoClient File not found
O4 - HKLM..\Run: [Conime] C:\WINDOWS\system32\conime.exe (Microsoft Corporation)
O4 - HKLM..\Run: [DDWMon] C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe ()
O4 - HKLM..\Run: [EKIJ5000StatusMonitor] C:\WINDOWS\system32\spool\drivers\w32x86\3\EKIJ5000MUI.exe (Eastman Kodak Company)
O4 - HKLM..\Run: [Firewall Administrating] C:\WINDOWS\infocard.exe File not found
O4 - HKLM..\Run: [Google EULA Launcher] C:\Programme\Google\Google EULA\GoogleEULALauncher.exe (Google)
O4 - HKLM..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)
O4 - HKLM..\Run: [NDSTray.exe] NDSTray.exe File not found
O4 - HKLM..\Run: [SmoothView] C:\Programme\Toshiba\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [THotkey] C:\Programme\Toshiba\TOSHIBA Applet\THotkey.exe (TOSHIBA)
O4 - HKU\.DEFAULT..\Run: [TOSHIBA Online Product Information] C:\Programme\Toshiba\Toshiba Online Product Information\TOPI.exe ()
O4 - HKU\S-1-5-18..\Run: [TOSHIBA Online Product Information] C:\Programme\Toshiba\Toshiba Online Product Information\TOPI.exe ()
O4 - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006..\Run: [Firewall Administrating] C:\WINDOWS\infocard.exe File not found
O4 - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006..\Run: [Spotify] C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Spotify\Spotify.exe (Spotify Ltd)
O4 - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006..\Run: [Spotify Web Helper] C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Spotify\Data\SpotifyWebHelper.exe (Spotify Ltd)
O4 - Startup: C:\Dokumente und Einstellungen\alicia\Startmenü\Programme\Autostart\OpenOffice.org 3.4.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\3.0.207\SSScheduler.exe (McAfee, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll (Sun Microsystems, Inc.)
O9 - Extra Button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - eBay - eine der größten deutschen Shopping-Websites File not found
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\alicia\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - Unable to read "AutoRun" value or value not present!
O32 - AutoRun File - [2008.09.18 09:11:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{6899f521-1e2c-11df-84ee-002163a5bce6}\Shell\AutoRun\command - "" = D:\temp0134/dd.exe
O33 - MountPoints2\{7388264c-12b3-11e0-85de-002163a5bce6}\Shell\verb1\command - "" = desktop.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.12.09 19:07:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center144568890
[2012.12.08 19:04:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1783835385
[2012.12.07 19:05:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center2124495648
[2012.12.06 19:00:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center2076275433
[2012.12.05 18:56:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center241437552
[2012.12.05 03:58:12 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2012.12.04 18:53:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center2139909017
[2012.12.03 18:52:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1985531769
[2012.12.02 18:51:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1001187650
[2012.12.01 18:46:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center249250640
[2012.11.30 18:47:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1559153068
[2012.11.29 18:46:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1713867093
[2012.11.28 18:44:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1230112707
[2012.11.27 18:42:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center310800305
[2012.11.26 18:36:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1568094524
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.12.25 19:51:01 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.12.25 19:19:04 | 000,000,488 | ---- | M] () -- C:\WINDOWS\tasks\PrintProjects Communicator.job
[2012.12.25 18:10:51 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad
[2012.12.25 18:08:10 | 000,030,213 | ---- | M] () -- C:\WINDOWS\System32\Config.MPF
[2012.12.25 18:03:50 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.12.25 18:03:44 | 1063,202,816 | -HS- | M] () -- C:\hiberfil.sys
[2012.12.25 15:08:36 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.12.09 20:20:24 | 000,000,798 | ---- | M] () -- C:\Dokumente und Einstellungen\alicia\Startmenü\Programme\Autostart\runctf.lnk
[2012.12.04 23:27:00 | 000,064,000 | ---- | M] () -- C:\Dokumente und Einstellungen\alicia\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.12.02 23:19:29 | 000,000,544 | ---- | M] () -- C:\WINDOWS\tasks\Norton Security Scan for alicia.job
[2012.12.01 01:00:00 | 000,000,338 | ---- | M] () -- C:\WINDOWS\tasks\McQcTask.job
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.12.25 18:03:44 | 1063,202,816 | -HS- | C] () -- C:\hiberfil.sys
[2012.12.09 20:20:23 | 000,000,798 | ---- | C] () -- C:\Dokumente und Einstellungen\alicia\Startmenü\Programme\Autostart\runctf.lnk
[2012.12.09 20:20:14 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad
[2012.03.14 23:07:16 | 000,000,127 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2012.03.14 23:03:29 | 000,000,147 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2012.03.11 13:41:32 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2012.02.15 15:42:27 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2010.07.02 21:16:15 | 000,138,056 | ---- | C] () -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\PnkBstrK.sys
[2009.04.16 16:21:17 | 000,064,000 | ---- | C] () -- C:\Dokumente und Einstellungen\alicia\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.04.12 10:39:42 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\alicia\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
 
========== ZeroAccess Check ==========
 
[2008.09.18 09:16:01 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2009.03.03 00:10:15 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 13:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.09.09 11:32:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\com.schroedel.bioheuteeinleger
[2009.05.27 17:37:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\MSNInstaller
[2012.10.13 20:33:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\OpenOffice.org
[2012.10.28 23:52:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\SoftGrid Client
[2012.12.25 19:09:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Spotify
[2012.10.02 16:28:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Temp
[2010.02.14 18:34:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Toshiba
[2012.09.09 10:55:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\TP
[2012.10.02 17:42:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Visan
[2012.05.10 21:58:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess
[2009.07.11 18:09:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2010.04.20 20:18:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
[2012.10.11 20:19:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrintProjects
[2012.09.02 13:22:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\StarStableOnline
[2010.02.23 17:48:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM
[2008.09.24 11:13:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TOSHIBA
[2012.10.15 04:32:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VirtualizedApplications
[2012.10.02 17:41:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Visan
[2009.04.15 15:27:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[2012.10.03 16:55:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Temp
 
========== Purity Check ==========
 
 

< End of report >

--- --- ---

ryder · 25.12.2012, 20:22

Also dann sehen wir endlich Licht:

Schritt 1:
Fix mit OTL

Zitat:

Warnung: Dieses Skript wurde nur für diesen User und diese spezielle Situation geschrieben. Auf anderen Computern ausgeführt kann es nachhaltige Schäden anrichten!
Hinweis: Wenn du deinen Benutzernamen unkenntlich gemacht hast, musst du wieder deinen richtigen Namen einsetzen, ansonsten wird das Skript nicht funktionieren.

Starte bitte die OTL.exe.

Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
:OTL
O4 - HKLM..\Run: [Firewall Administrating] C:\WINDOWS\infocard.exe File not found
O4 - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006..\Run: [Firewall Administrating] C:\WINDOWS\infocard.exe File not found
[2012.12.09 20:20:23 | 000,000,798 | ---- | C] () -- C:\Dokumente und Einstellungen\alicia\Startmenü\Programme\Autostart\runctf.lnk
[2012.12.09 20:20:14 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad
[2012.10.03 16:55:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Temp



:commands
[Emptytemp]
         
Schliesse bitte nun alle Programme.

Klicke nun bitte auf den Fix Button.

OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.

Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)

Kopiere nun den Inhalt hier in deinen Thread, möglichst in Code-Tags.

Hinweis: Die Ausführung des Kommandos kann einige Minuten dauern und OTL scheint in dieser Zeit nicht zu reagieren. Bitte geduldig sein!

Schritt 2:
Deinstalliere McAffee Security Scan, Sweet IM

Schritt 3:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.
Starte die adwcleaner.exe mit einem Doppelklick.

Klicke auf Löschen.

Bestätige jeweils mit Ok.

Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.

Poste mir den Inhalt mit deiner nächsten Antwort.

Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 4:
Scan mit Combofix

Zitat:

WARNUNG:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
WICHTIG: Speichere Combofix auf deinem Desktop

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Wobichta · 25.12.2012, 21:34

Das ist das erste

Zitat:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Firewall Administrating deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3383299118-3946163900-2515368864-1006\Software\Microsoft\Windows\CurrentVersion\Run\\Firewall Administrating deleted successfully.
C:\Dokumente und Einstellungen\alicia\Startmenü\Programme\Autostart\runctf.lnk moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad moved successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Temp\Eastman Kodak Company folder moved successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Temp folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: alicia
->Temp folder emptied: 155429275 bytes
->Temporary Internet Files folder emptied: 243467382 bytes
->Java cache emptied: 6421930 bytes
->FireFox cache emptied: 452125525 bytes
->Flash cache emptied: 3148724 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes
->Flash cache emptied: 56545 bytes

User: Gast
->Temp folder emptied: 3031780 bytes
->Temporary Internet Files folder emptied: 196254066 bytes
->FireFox cache emptied: 65047744 bytes
->Flash cache emptied: 6099 bytes

User: LocalService
->Temp folder emptied: 312992 bytes
->Temporary Internet Files folder emptied: 7879709 bytes

User: NetworkService
->Temp folder emptied: 884481 bytes
->Temporary Internet Files folder emptied: 3932758 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 4148615 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 251418327 bytes
RecycleBin emptied: 2909744249 bytes

Total Files Cleaned = 4.104,00 mb

OTL by OldTimer - Version 3.2.69.0 log created on 12252012_203258

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\alicia\Lokale Einstellungen\Temp\wpbt0.dll moved successfully.
File\Folder C:\WINDOWS\temp\mcmsc_4kUOO0ts3NxTAUh not found!
File\Folder C:\WINDOWS\temp\mcmsc_VOzIiAzirp6gNI3 not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Das Zweite:

Zitat:

# AdwCleaner v2.102 - Datei am 25/12/2012 um 21:58:13 erstellt
# Aktualisiert am 23/12/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : alicia - YOUR-227984B13D
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\alicia\Desktop\adwcleaner.exe
# Option [Löschen]

**** [Dienste] ****

***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ\ICQToolbar
Ordner Gelöscht : C:\Programme\ICQ6Toolbar

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35D-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKCU\Software\SweetIM
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ICQToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Software
Schlüssel Gelöscht : HKLM\Software\SweetIM
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EEE6C35B-6118-11DC-9C72-001320C79847}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{EEE6C35D-6118-11DC-9C72-001320C79847}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - ICQ Search] = hxxp://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd --> hxxp://www.google.com

*************************

AdwCleaner[S1].txt - [2366 octets] - [25/12/2012 21:58:13]

########## EOF - C:\AdwCleaner[S1].txt - [2426 octets] ##########

Das Dritte:

Combofix Logfile:

Code:

ATTFilter

ComboFix 12-12-25.02 - alicia 25.12.2012  22:13:44.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1014.554 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\alicia\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\alicia\Recent\Thumbs.db
c:\windows\EventSystem.log
c:\windows\system32\drivers\etc\hosts.ics
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-11-25 bis 2012-12-25  ))))))))))))))))))))))))))))))
.
.
2012-12-09 18:07 . 2012-12-09 18:07	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center144568890
2012-12-08 18:04 . 2012-12-08 18:04	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1783835385
2012-12-07 18:05 . 2012-12-07 18:05	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center2124495648
2012-12-06 18:00 . 2012-12-06 18:00	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center2076275433
2012-12-05 17:56 . 2012-12-05 17:56	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center241437552
2012-12-04 17:53 . 2012-12-04 17:53	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center2139909017
2012-12-03 17:52 . 2012-12-03 17:52	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1985531769
2012-12-02 17:51 . 2012-12-02 17:51	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1001187650
2012-12-01 17:46 . 2012-12-01 17:46	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center249250640
2012-11-30 17:47 . 2012-11-30 17:47	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1559153068
2012-11-29 17:46 . 2012-11-29 17:46	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1713867093
2012-11-28 17:44 . 2012-11-28 17:44	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1230112707
2012-11-27 17:42 . 2012-11-27 17:42	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center310800305
2012-11-26 17:36 . 2012-11-26 17:36	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1568094524
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-22 19:56 . 2008-09-18 09:59	1866496	----a-w-	c:\windows\system32\win32k.sys
2012-10-08 22:51 . 2012-06-26 00:36	696760	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-10-08 22:51 . 2011-06-03 18:03	73656	-c--a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-10-02 18:04 . 2008-09-18 09:59	58368	----a-w-	c:\windows\system32\synceng.dll
2012-12-05 02:59 . 2012-12-05 02:58	262112	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CFSServ.exe"="CFSServ.exe -NoClient" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-08-12 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-08-12 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-08-12 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-09-11 16851456]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-08-13 1024000]
"ACU"="c:\programme\Atheros\ACU.exe" [2008-04-14 450648]
"NDSTray.exe"="NDSTray.exe" [BU]
"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2008-09-05 393216]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2008-09-10 143360]
"DDWMon"="c:\programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2007-04-26 495616]
"Google EULA Launcher"="c:\programme\Google\Google EULA\\GoogleEULALauncher.exe" [2008-08-29 20480]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Camera Assistant Software"="c:\programme\Camera Assistant Software for Toshiba\traybar.exe" [2008-08-19 417792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"Conime"="c:\windows\system32\conime.exe" [2008-04-14 27648]
"EKIJ5000StatusMonitor"="c:\windows\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe" [2011-06-16 2510848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"TOSHIBA Online Product Information"="c:\programme\TOSHIBA\Toshiba Online Product Information\topi.exe" [2008-09-08 5567800]
.
c:\dokumente und einstellungen\alicia\Startmenü\Programme\Autostart\
OpenOffice.org 3.4.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2012-8-13 1199104]
runctf.lnk - c:\windows\system32\rundll32.exe [2008-9-18 33792]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\TOSHIBA\\ConfigFree\\CFXFER.exe"=
"c:\\Dokumente und Einstellungen\\alicia\\Anwendungsdaten\\Spotify\\spotify.exe"=
"c:\\Programme\\Kodak\\AiO\\Center\\AiOHomeCenter.exe"=
"c:\\Programme\\Kodak\\AiO\\Center\\Kodak.Statistics.exe"=
"c:\\Programme\\Kodak\\AiO\\Center\\NetworkPrinterDiscovery.exe"=
"c:\\Programme\\Kodak\\AiO\\Firmware\\KodakAiOUpdater.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kodak\\Installer\\Setup.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9322:TCP"= 9322:TCP:EKDiscovery
"5353:UDP"= 5353:UDP:Bonjour Port 5353
.
R2 cvhsvc;Client Virtualization Handler;c:\programme\Gemeinsame Dateien\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [07.02.2012 19:54 822624]
R2 Kodak AiO Network Discovery Service;Kodak AiO Network Discovery Service;c:\programme\Kodak\AiO\Center\EKAiOHostService.exe [18.06.2012 20:13 394712]
R2 Kodak AiO Status Monitor Service;Kodak AiO Status Monitor Service;c:\programme\Kodak\AiO\StatusMonitor\EKPrinterSDK.exe [19.06.2012 12:44 777728]
R2 sftlist;Application Virtualization Client;c:\programme\Microsoft Application Virtualization Client\sftlist.exe [01.10.2011 00:30 508776]
R2 tdudf;TOSHIBA UDF File System Driver;c:\windows\system32\drivers\tdudf.sys [26.03.2007 11:22 105856]
R2 trudf;TOSHIBA DVD-RAM UDF File System Driver;c:\windows\system32\drivers\trudf.sys [19.02.2007 11:15 134016]
R3 FwLnk;FwLnk Driver;c:\windows\system32\drivers\FwLnk.sys [18.09.2008 11:27 5888]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [18.09.2008 09:50 157696]
R3 Sftfs;Sftfs;c:\windows\system32\drivers\Sftfsxp.sys [01.10.2011 00:30 584680]
R3 Sftplay;Sftplay;c:\windows\system32\drivers\Sftplayxp.sys [01.10.2011 00:30 209512]
R3 Sftredir;Sftredir;c:\windows\system32\drivers\Sftredirxp.sys [01.10.2011 00:30 20584]
R3 Sftvol;Sftvol;c:\windows\system32\drivers\Sftvolxp.sys [01.10.2011 00:30 18280]
R3 sftvsa;Application Virtualization Service Agent;c:\programme\Microsoft Application Virtualization Client\sftvsa.exe [01.10.2011 00:30 219496]
S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2012-12-25 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-26 22:51]
.
2012-12-25 c:\windows\Tasks\PrintProjects Communicator.job
- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrintProjects\Communicator.exe [2011-06-20 09:11]
.
2009-04-12 c:\windows\Tasks\Registrierungserinnerung 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-09-18 12:00]
.
2009-04-12 c:\windows\Tasks\Registrierungserinnerung 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-09-18 12:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://freeart1cile.com
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\alicia\Anwendungsdaten\Mozilla\Firefox\Profiles\1wqn4q4j.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxps://www.google.de/search?q=wie+reitet+man+richtig&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a|hxxp://www.pferd-erklaert.de/category/reiten/die-anfange/|hxxp://www.pferd-erklaert.de/2009/11/reiter-hilfen-beidseitige-gewichtshilfen-kreuz-anspannen/|hxxp://www.pferd-erklaert.de/2009/11/die-hilfen-teil-2-einseitige-gewichtshilfen/|hxxp://www.pferd-erklaert.de/2010/04/hilfen-teil-4-die-zuegelhilfen/|hxxp://www.pferd-erklaert.de/2009/11/hilfen-teil-1-schenkelhilfen/|hxxp://www.pferd-erklaert.de/2010/04/problem-pferd-will-nicht-angaloppieren/|hxxp://www.pferd-erklaert.de/2010/04/sitzlehre-reitlehre-der-knieschluss/|hxxp://www.pferd-erklaert.de/2010/04/problem-pferd-steht-beim-aufsteigen-nicht-still/
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?barid={9F0A3FD0-D686-452A-A83D-869E8ACE0A9D}&src=2&q=
FF - ExtSQL: !HIDDEN! 2009-09-02 22:21; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-mcmscsvc
SafeBoot-MCODS
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-12-25 22:29
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-12-25  22:33:43
ComboFix-quarantined-files.txt  2012-12-25 21:33
.
Vor Suchlauf: 13 Verzeichnis(se), 97.812.357.120 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 98.063.179.776 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /forceresetreg
.
- - End Of File - - BE799A52EFB5B0028F36C78CEE35B4EA

--- --- ---

ryder · 28.12.2012, 10:39

Dann eine Sache noch:

Combofix-Skript

Zitat:

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link

Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
ATTFilter
File::
c:\dokumente und einstellungen\alicia\Startmenü\Programme\Autostart\runctf.lnk
SkipFix::
         
Speichere dies als CFScript.txt auf deinem Desktop.

Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!

Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.

Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:

Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
Bitte füge es hier als Antwort (in CODE-Tags) ein.
Zitat:

Hinweis:
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Wobichta · 28.12.2012, 21:03

Hey.
Da längere Zeit keine Antwort kam und der Pc normal zu laufen schien, bin ich davon ausgegangen, dass das fertig war. Also habe ich mir Microsoft Security Essentials heruntergeladen, da ich kein Virenprogramm mehr hatte. Dieses ht jedoch gleich zwei bzw drei Fünde gemacht und in Quarantäne gestellt:

Zitat:

startup:c\dokumente und einstellungen\alicia\Startmenü\Programme\Autostart\runctf.lnk

file:C:\Dokumente und Einstellungen\alicia\Startmenü\Programme\Autostart\runctf.lnk

file:C:\System Volume Information\_restore{9CB25597-FEE6-4CBC-A1E2-DF4B105C2C29}\RP434\A0114543.lnk

Soll ich das Programm jetzt wieder löschen und die Schritte von oben befolgen?

ryder · 29.12.2012, 11:33

Was heißt längere Zeit? Es steht klar da, dass ich bis zu 3 Tage für eine Antwort brauche und du hast in meinen Regeln gelesen, dass du keine Alleingänge durchführen sollst!

Also führe bitte den letzten Schritt durch.

ryder · 31.12.2012, 16:14

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Wobichta · 31.12.2012, 23:24

...

Combofix Logfile:

Code:

ATTFilter

ComboFix 12-12-30.01 - Kontrollkonto 30.12.2012  20:48:48.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1014.465 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Kontrollkonto\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Kontrollkonto\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.
FILE ::
"c:\dokumente und einstellungen\alicia\Startmenü\Programme\Autostart\runctf.lnk"
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Recycle.Bin
c:\recycle.bin\B6232F3A765.exe
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\regtlib.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-11-28 bis 2012-12-30  ))))))))))))))))))))))))))))))
.
.
2012-12-30 13:17 . 2012-12-30 13:17	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1937775721
2012-12-29 15:09 . 2012-12-29 15:09	60872	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{9B66DB95-A4A2-4B03-9C4F-852A1266FE99}\offreg.dll
2012-12-29 14:28 . 2012-11-08 09:00	6812136	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{9B66DB95-A4A2-4B03-9C4F-852A1266FE99}\mpengine.dll
2012-12-28 21:43 . 2012-12-28 21:43	--------	d-----w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\KODAK AiO Home Center455406515
2012-12-28 21:43 . 2012-12-28 21:43	--------	d-----w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\Temp
2012-12-28 00:06 . 2012-11-08 09:00	6812136	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-12-28 00:05 . 2012-01-31 12:44	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-12-27 23:59 . 2012-12-28 00:00	--------	d-----w-	c:\programme\Microsoft Security Client
2012-12-27 23:16 . 2008-04-14 06:52	4255	------w-	c:\windows\system32\drivers\adv01nt5.dll
2012-12-27 23:13 . 2006-12-28 23:31	19569	----a-w-	c:\windows\000001_.tmp
2012-12-27 23:13 . 2012-12-27 23:13	--------	d-----w-	c:\windows\EHome
2012-12-27 22:14 . 2012-12-27 22:14	--------	d-----w-	c:\programme\Opera
2012-12-27 22:09 . 2012-12-27 22:09	--------	dc-h--w-	c:\windows\ie8
2012-12-27 22:06 . 2012-12-27 23:48	--------	d-----w-	c:\dokumente und einstellungen\Kontrollkonto
2012-12-26 17:42 . 2012-12-26 17:42	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center2049999912
2012-12-26 17:42 . 2012-12-26 17:42	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Temp
2012-12-25 21:52 . 2012-12-25 21:52	16363960	----a-w-	c:\windows\system32\FlashPlayerInstaller.exe
2012-12-09 18:07 . 2012-12-09 18:07	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center144568890
2012-12-08 18:04 . 2012-12-08 18:04	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1783835385
2012-12-07 18:05 . 2012-12-07 18:05	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center2124495648
2012-12-06 18:00 . 2012-12-06 18:00	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center2076275433
2012-12-05 17:56 . 2012-12-05 17:56	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center241437552
2012-12-04 17:53 . 2012-12-04 17:53	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center2139909017
2012-12-03 17:52 . 2012-12-03 17:52	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1985531769
2012-12-02 17:51 . 2012-12-02 17:51	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center1001187650
2012-12-01 17:46 . 2012-12-01 17:46	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\KODAK AiO Home Center249250640
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-25 21:52 . 2012-06-26 00:36	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-12-25 21:52 . 2011-06-03 18:03	73656	-c--a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-16 12:23 . 2008-09-18 09:59	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-11-13 11:55 . 2008-09-18 09:59	1866496	----a-w-	c:\windows\system32\win32k.sys
2012-11-02 02:02 . 2008-09-18 09:59	375296	----a-w-	c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2008-09-18 09:59	916992	----a-w-	c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2008-09-18 09:59	43520	------w-	c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2008-09-18 09:59	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2008-09-18 09:59	385024	------w-	c:\windows\system32\html.iec
2012-10-02 18:04 . 2008-09-18 09:59	58368	----a-w-	c:\windows\system32\synceng.dll
2012-12-05 02:59 . 2012-12-05 02:58	262112	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\programme\TOSHIBA\Toshiba Online Product Information\topi.exe" [2008-09-08 5567800]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CFSServ.exe"="CFSServ.exe -NoClient" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-08-12 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-08-12 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-08-12 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-09-11 16851456]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-08-13 1024000]
"ACU"="c:\programme\Atheros\ACU.exe" [2008-04-14 450648]
"NDSTray.exe"="NDSTray.exe" [BU]
"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2008-09-05 393216]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2008-09-10 143360]
"DDWMon"="c:\programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2007-04-26 495616]
"Google EULA Launcher"="c:\programme\Google\Google EULA\\GoogleEULALauncher.exe" [2008-08-29 20480]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Camera Assistant Software"="c:\programme\Camera Assistant Software for Toshiba\traybar.exe" [2008-08-19 417792]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"Conime"="c:\windows\system32\conime.exe" [2008-04-14 27648]
"EKIJ5000StatusMonitor"="c:\windows\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe" [2011-06-16 2510848]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-09-12 947176]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"TOSHIBA Online Product Information"="c:\programme\TOSHIBA\Toshiba Online Product Information\topi.exe" [2008-09-08 5567800]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\TOSHIBA\\ConfigFree\\CFXFER.exe"=
"c:\\Programme\\Kodak\\AiO\\Center\\AiOHomeCenter.exe"=
"c:\\Programme\\Kodak\\AiO\\Center\\Kodak.Statistics.exe"=
"c:\\Programme\\Kodak\\AiO\\Center\\NetworkPrinterDiscovery.exe"=
"c:\\Programme\\Kodak\\AiO\\Firmware\\KodakAiOUpdater.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kodak\\Installer\\Setup.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9322:TCP"= 9322:TCP:EKDiscovery
"5353:UDP"= 5353:UDP:Bonjour Port 5353
.
R2 cvhsvc;Client Virtualization Handler;c:\programme\Gemeinsame Dateien\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [07.02.2012 19:54 822624]
R2 Kodak AiO Network Discovery Service;Kodak AiO Network Discovery Service;c:\programme\Kodak\AiO\Center\EKAiOHostService.exe [18.06.2012 20:13 394712]
R2 Kodak AiO Status Monitor Service;Kodak AiO Status Monitor Service;c:\programme\Kodak\AiO\StatusMonitor\EKPrinterSDK.exe [19.06.2012 12:44 777728]
R2 sftlist;Application Virtualization Client;c:\programme\Microsoft Application Virtualization Client\sftlist.exe [01.10.2011 00:30 508776]
R2 tdudf;TOSHIBA UDF File System Driver;c:\windows\system32\drivers\tdudf.sys [26.03.2007 11:22 105856]
R2 trudf;TOSHIBA DVD-RAM UDF File System Driver;c:\windows\system32\drivers\trudf.sys [19.02.2007 11:15 134016]
R3 FwLnk;FwLnk Driver;c:\windows\system32\drivers\FwLnk.sys [18.09.2008 11:27 5888]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [18.09.2008 09:50 157696]
R3 Sftfs;Sftfs;c:\windows\system32\drivers\Sftfsxp.sys [01.10.2011 00:30 584680]
R3 Sftplay;Sftplay;c:\windows\system32\drivers\Sftplayxp.sys [01.10.2011 00:30 209512]
R3 Sftredir;Sftredir;c:\windows\system32\drivers\Sftredirxp.sys [01.10.2011 00:30 20584]
R3 Sftvol;Sftvol;c:\windows\system32\drivers\Sftvolxp.sys [01.10.2011 00:30 18280]
R3 sftvsa;Application Virtualization Service Agent;c:\programme\Microsoft Application Virtualization Client\sftvsa.exe [01.10.2011 00:30 219496]
S1 tnewvyzx;tnewvyzx;\??\c:\windows\system32\drivers\tnewvyzx.sys --> c:\windows\system32\drivers\tnewvyzx.sys [?]
S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2012-12-30 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-26 21:52]
.
2012-12-30 c:\windows\Tasks\MpIdleTask.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-09-12 16:25]
.
2012-12-30 c:\windows\Tasks\PrintProjects Communicator.job
- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrintProjects\Communicator.exe [2011-06-20 09:11]
.
2009-04-12 c:\windows\Tasks\Registrierungserinnerung 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-09-18 12:00]
.
2009-04-12 c:\windows\Tasks\Registrierungserinnerung 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-09-18 12:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - 
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-12-30 20:53
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1152)
c:\windows\system32\igfxdev.dll
.
Zeit der Fertigstellung: 2012-12-30  20:58:28
ComboFix-quarantined-files.txt  2012-12-30 19:58
ComboFix2.txt  2012-12-25 21:33
.
Vor Suchlauf: 14 Verzeichnis(se), 96.197.713.920 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 96.192.000.000 Bytes frei
.
- - End Of File - - 9B7621680744BF7ECEDB4598CADB7A58

--- --- ---

ryder · 01.01.2013, 12:33

Hm da sieht man jetzt noch was seltsames, das muss noch weg und eine Kontrolle hinter her:

Schritt 1:
Combofix-Skript

Zitat:

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link

Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
ATTFilter
Driver::
tnewvyzx


File::
c:\windows\system32\drivers\tnewvyzx.sys
         
Speichere dies als CFScript.txt auf deinem Desktop.

Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!

Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.

Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:

Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
Bitte füge es hier als Antwort (in CODE-Tags) ein.
Zitat:

Hinweis:
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Schritt 2:
Scan mit MBAR

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

ryder · 02.01.2013, 21:32

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Wobichta · 04.01.2013, 19:31

Hey.
Ich versuche die ganze Zeit nochmal Combofix runterzuladen, er laedt es auch laut den Downloads runter, doch ich finde es nirgends. Weder auf dem Desktop noch in den Downloads.

29.12.2012, 11:33	#55
ryder /// TB-Ausbilder	PC gesperrt, Windows XP Was heißt längere Zeit? Es steht klar da, dass ich bis zu 3 Tage für eine Antwort brauche und du hast in meinen Regeln gelesen, dass du keine Alleingänge durchführen sollst! Also führe bitte den letzten Schritt durch. __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

PC gesperrt, Windows XP

Plagegeister aller Art und deren Bekämpfung: PC gesperrt, Windows XP