Kann nichts mehr machen außer weißen Bildschirm anstarren

Danny777 · 22.01.2013, 15:15

Hallo Leute,

Ich bin neu hier und bin nicht gerade ein wirkliches Computergenie,
Habe folgendes Problem!

Ich besitze einen Dell PC mit Windows XP Professional, welchen ich eigentlich hauptsächlich für 3D-Zeichenprogramme verwende.
Bin vor einiger zeit durch das Internet gesurft als kurze Pause vom Zeichnen und plötzlich kam eine Seite des Finanzministeriums Österreichs, welche mich aufgefordert hat einen Geldbetrag zu überweisen um das Fenster zu schließen. Natürlich ging ich nicht drauf ein und habe den Computer ausgeschaltet, jedoch kann ich nun nichts mehr machen, ich starte meinen Computer, egal ob Abgesicherter Modus oder normaler Modus, gebe mein Kennwort ein und dann seh ich kurz mein Desktop-Hintergrund und plötzlich kommt wieder ein weißer Bildschirm "die Navigation zu der Webseite wurde abgebrochen". Ich kann nichts machen, weder das Fenster schließen noch den Task-Manager öffnen...es funktioniert einfach gar nichts...
Ich möchte aber nicht den PC neu aufsetzen da ich einige Programme drauf habe die ich noch benötigen würde, so wie auch Dateien! Deshalb wende ich mich an euch und hoffe das ihr mir helfen könnt. Bin wirklich verzweifelt.

cosinus · 22.01.2013, 15:18

Zitat:

Ich besitze einen Dell PC mit Windows XP Professional, welchen ich eigentlich hauptsächlich für 3D-Zeichenprogramme verwende.

Ist das rein zufällig ein Büro-/Firmen-PC? Oder ein Uni-Rechner?

Danny777 · 22.01.2013, 16:21

es ist ein privat PC und ich verwende ihn zwar für die UNI aber er steht bei mir zuhause

cosinus · 22.01.2013, 16:43

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Danny777 · 28.01.2013, 19:39

hallo,
also danke mal im voraus für die detailgenaue anleitung, hat mir sehr geholfen.
es hat alles auf anhieb geklappt, jedoch zum schluss hin ist etwas passiert. ich kann diese Extras.Txt nicht finden...

habe aber die OTL.Txt datei gefunden und hoffe das das so passt. danke nochmals für deine hilfe!OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 1/28/2013 7:43:41 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 89.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 465.68 Gb Total Space | 269.47 Gb Free Space | 57.87% Space Free | Partition Type: NTFS
Drive D: | 3.73 Gb Total Space | 0.22 Gb Free Space | 5.82% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = All Days
Using ControlSet: ControlSet003
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012/05/24 06:28:56 | 000,055,184 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2010/02/19 12:43:34 | 000,380,928 | ---- | M] (Spigot, Inc.) [Disabled] -- C:\Programme\Application Updater\ApplicationUpdater.exe -- (Application Updater)
SRV - [2008/11/11 03:38:06 | 000,620,544 | ---- | M] (Nokia.) [On_Demand] -- C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2008/11/03 18:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2008/08/13 17:04:44 | 000,201,968 | ---- | M] (SupportSoft, Inc.) [Auto] -- C:\Programme\Dell Support Center\bin\sprtsvc.exe -- (sprtsvc_dellsupportcenter) SupportSoft Sprocket Service (dellsupportcenter)
SRV - [2008/07/20 12:45:06 | 000,354,840 | ---- | M] (Intel Corporation) [Auto] -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON) Intel(R)
SRV - [2008/04/14 07:00:00 | 000,015,872 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINDOWS\system32\inetsrv\inetinfo.exe -- (W3SVC)
SRV - [2008/04/14 07:00:00 | 000,015,872 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINDOWS\system32\inetsrv\inetinfo.exe -- (SMTPSVC) Simple Mail Transfer Protocol (SMTP)
SRV - [2008/04/14 07:00:00 | 000,015,872 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINDOWS\system32\inetsrv\inetinfo.exe -- (IISADMIN)
SRV - [2008/01/16 03:51:44 | 000,030,312 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe -- (BcmSqlStartupSvc)
SRV - [2007/07/11 04:33:28 | 000,069,632 | R--- | M] (MicroVision Development, Inc.) [On_Demand] -- C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe -- (stllssvr)
SRV - [2006/10/26 09:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2005/04/03 17:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (upperdev)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2011/08/02 11:38:44 | 000,018,432 | ---- | M] (Apple Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\netaapl.sys -- (Netaapl)
DRV - [2010/04/27 18:57:28 | 000,066,632 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\WmXlCore.sys -- (WmXlCore)
DRV - [2010/04/27 18:57:28 | 000,015,048 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\WmVirHid.sys -- (WmVirHid)
DRV - [2010/04/27 18:57:22 | 000,022,856 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\WmBEnum.sys -- (WmBEnum)
DRV - [2010/04/27 16:01:26 | 000,037,704 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\WmFilter.sys -- (WmFilter)
DRV - [2010/02/22 03:06:42 | 000,009,216 | ---- | M] (MBB Incorporated) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\massfilter.sys -- (massfilter)
DRV - [2009/12/22 06:30:46 | 000,019,456 | ---- | M] (LG Soft India) [Kernel | On_Demand] -- C:\WINDOWS\system32\LGPII2CDriver.sys -- (LGII2CDevice)
DRV - [2009/12/22 06:30:36 | 000,016,384 | ---- | M] (LG Soft India) [Kernel | On_Demand] -- C:\WINDOWS\system32\LGI2CDriver.sys -- (LGDDCDevice)
DRV - [2009/12/08 14:19:12 | 000,114,432 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbnet.sys -- (ewusbnet)
DRV - [2009/12/07 13:53:12 | 000,102,912 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2009/10/12 09:21:54 | 000,100,736 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbdev.sys -- (hwusbdev)
DRV - [2009/01/29 09:38:10 | 000,685,816 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2008/08/18 18:03:28 | 000,079,960 | ---- | M] (JMicron Technology Corp.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\jraid.sys -- (JRAID)
DRV - [2008/08/18 18:03:12 | 000,106,368 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2008/08/18 17:21:20 | 000,110,080 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\IntcHdmi.sys -- (IntcHdmiAddService) Intel(R)
DRV - [2008/08/18 17:20:06 | 004,752,896 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007/12/03 06:13:48 | 000,011,264 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\diag69xp.sys -- (Diag69xp)
DRV - [2007/11/19 20:14:08 | 000,016,640 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTLVLAN.SYS -- (RTLVLAN)
DRV - [2007/11/19 20:04:50 | 000,008,960 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\LANPkt.sys -- (LANPkt)
DRV - [2007/07/23 10:05:18 | 000,009,104 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLADResM.SYS -- (DLADResM)
DRV - [2007/07/23 10:04:58 | 000,037,360 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLABMFSM.SYS -- (DLABMFSM)
DRV - [2007/07/23 10:04:56 | 000,098,448 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLAUDF_M.SYS -- (DLAUDF_M)
DRV - [2007/07/23 10:04:56 | 000,093,552 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLAUDFAM.SYS -- (DLAUDFAM)
DRV - [2007/07/23 10:04:54 | 000,027,216 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLAOPIOM.SYS -- (DLAOPIOM)
DRV - [2007/07/23 10:04:52 | 000,032,848 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLABOIOM.SYS -- (DLABOIOM)
DRV - [2007/07/23 10:04:52 | 000,016,304 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLAPoolM.SYS -- (DLAPoolM)
DRV - [2007/07/23 10:04:50 | 000,108,752 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLAIFS_M.SYS -- (DLAIFS_M)
DRV - [2007/07/23 09:49:44 | 000,030,064 | ---- | M] (Roxio) [File_System | System] -- C:\WINDOWS\system32\drivers\DLARTL_M.SYS -- (DLARTL_M)
DRV - [2007/07/23 09:49:44 | 000,014,576 | ---- | M] (Roxio) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM)
DRV - [2007/07/12 21:22:38 | 000,135,168 | R--- | M] (Saitek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SaiH0BAC.sys -- (SaiH0BAC)
DRV - [2007/04/24 10:52:10 | 000,016,688 | ---- | M] (IBM) [Kernel | System] -- C:\WINDOWS\system32\drivers\LUMDriver.sys -- (LUMDriver)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = Fixhomepage
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,First Home Page = Dell Offizielle Seite | Dell Österreich
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Fixhomepage
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Daniel_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = GMX Suche - die Suchmaschine
IE - HKU\Daniel_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Babylon Search
IE - HKU\Daniel_ON_C\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll (Spigot, Inc.)
IE - HKU\Daniel_ON_C\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)
IE - HKU\Daniel_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Daniel_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Fixhomepage
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Fixhomepage
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011/03/23 14:51:09 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/03/23 14:51:09 | 000,000,000 | ---D | M]
 
[2010/10/14 13:35:17 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010/09/14 16:32:39 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/11/29 10:25:36 | 000,002,310 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\babylon.xml
[2010/09/14 16:32:39 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2010/09/14 16:32:39 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/01/12 14:22:56 | 000,002,519 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\Search_Results.xml
[2010/09/14 16:32:39 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010/09/14 16:32:39 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008/04/14 07:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Programme\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Programme\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Programme\Windows iLivid Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media, inc)
O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Programme\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (Spigot, Inc.)
O2 - BHO: (GMX Toolbar BHO) - {BF42D4A8-016E-4fcd-B1EB-837659FD77C6} - C:\Programme\GMX Toolbar IE8\uitb.dll (1&1 Mail & Media GmbH)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll (Spigot, Inc.)
O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O2 - BHO: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Programme\YouTube Downloader Toolbar\IE\1.0\youtubedownloaderToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (Easy-WebPrint) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll ()
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Programme\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Programme\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (GMX Toolbar) - {C424171E-592A-415a-9EB1-DFD6D95D3530} - C:\Programme\GMX Toolbar IE8\uitb.dll (1&1 Mail & Media GmbH)
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Programme\YouTube Downloader Toolbar\IE\1.0\youtubedownloaderToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\Daniel_ON_C\..\Toolbar\WebBrowser: (GMX Toolbar) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - C:\Programme\GMX Toolbar IE8\uitb.dll (1&1 Mail & Media GmbH)
O3 - HKU\Daniel_ON_C\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [8169Diag] C:\Programme\Realtek\Diagnostics Utility\8169Diag.exe (Realtek)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe (Apple Inc.)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [DATAMNGR] C:\Programme\Windows iLivid Toolbar\Datamngr\datamngrUI.exe (Bandoo Media, inc)
O4 - HKLM..\Run: [DellSupportCenter] C:\Programme\Dell Support Center\bin\sprtcmd.exe (SupportSoft, Inc.)
O4 - HKLM..\Run: [dscactivate] C:\Programme\Dell Support Center\gs_agent\custom\dsca.exe ( )
O4 - HKLM..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
O4 - HKLM..\Run: [Nokia FastStart]  File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe ()
O4 - HKLM..\Run: [OpwareSE2] C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe (Spigot, Inc.)
O4 - HKLM..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe (Logitech Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [Sweetpacks Communicator] C:\Programme\SweetIM\Communicator\SweetPacksUpdateManager.exe (SweetIM Technologies Ltd.)
O4 - HKU\Administrator_ON_C..\Run: [ISUSPM] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (Macrovision Corporation)
O4 - HKU\Daniel_ON_C..\Run: [DellSupportCenter] C:\Programme\Dell Support Center\bin\sprtcmd.exe (SupportSoft, Inc.)
O4 - HKU\Daniel_ON_C..\Run: [ISUSPM] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe (Macrovision Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\EasySetPackage.lnk = C:\Programme\LG Soft India\EasySetPackage\bin\EasySetPackage.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Daniel_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class)
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} hxxp://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab (NVIDIA Smart Scan)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O18 - Protocol\Handler\gmx {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - C:\Programme\GMX Toolbar IE8\uitb.dll (1&1 Mail & Media GmbH)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\PROGRA~1\WI371A~1\Datamngr\datamngr.dll) - C:\Programme\Windows iLivid Toolbar\Datamngr\datamngr.dll (Bandoo Media, inc)
O20 - AppInit_DLLs: (C:\PROGRA~1\WI371A~1\Datamngr\IEBHO.dll) - C:\Programme\Windows iLivid Toolbar\Datamngr\IEBHO.dll (Bandoo Media, inc)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\soap0_pack.exe) - C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\soap0_pack.exe ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O31 - SafeBoot: AlternateShell - C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\soap0_pack.exe
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/04/25 10:00:23 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within All Days ==========
 
[2012/06/26 13:11:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\iPhone2,1_4.3.1_8G4_Restore
[2012/06/26 13:10:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Desktop\1036_redsn0w_win_0.9.6rc12
[2012/06/26 12:22:11 | 000,348,504 | ---- | C] (SweetIM Technologies Ltd.) -- C:\Dokumente und Einstellungen\Daniel\Desktop\sweetimsetup.exe
[2012/06/26 12:06:57 | 077,251,480 | ---- | C] (Apple Inc.) -- C:\Dokumente und Einstellungen\Daniel\Desktop\iTunesSetup.exe
[2012/03/11 08:34:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\Downloaded Installations
[2012/02/26 11:15:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\Orbiter2010
[2012/02/23 03:18:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniel\Desktop\Flugzeuge
[2012/02/09 12:50:35 | 003,497,832 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_34.dll
[2012/02/09 12:50:35 | 001,124,720 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_34.dll
[2012/02/09 12:50:35 | 000,443,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_34.dll
[2012/02/09 12:50:35 | 000,266,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_8.dll
[2012/02/09 12:50:35 | 000,018,280 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\x3daudio1_2.dll
[2012/02/09 12:50:33 | 001,123,696 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\D3DCompiler_33.dll
[2012/02/09 12:50:33 | 000,443,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx10_33.dll
[2012/02/09 12:50:33 | 000,261,480 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_7.dll
[2012/02/09 12:50:30 | 003,495,784 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_33.dll
[2012/02/09 12:50:30 | 003,426,072 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_32.dll
[2012/02/09 12:50:30 | 000,255,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_6.dll
[2012/02/09 12:50:30 | 000,251,672 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_5.dll
[2012/02/09 12:50:29 | 002,414,360 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_31.dll
[2012/02/09 12:50:29 | 000,237,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_4.dll
[2012/02/09 12:50:29 | 000,236,824 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_3.dll
[2012/02/09 12:50:29 | 000,230,168 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine2_2.dll
[2012/02/09 12:50:29 | 000,062,744 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xinput1_2.dll
[2012/02/09 12:50:29 | 000,015,128 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\x3daudio1_1.dll
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within All Days ==========
 
[2013/01/28 13:14:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013/01/28 13:10:00 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013/01/28 13:09:59 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013/01/28 13:09:04 | 000,585,132 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013/01/28 13:09:04 | 000,545,280 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013/01/28 13:09:04 | 000,131,276 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013/01/28 13:09:04 | 000,110,016 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013/01/28 13:07:52 | 3220,160,512 | -HS- | M] () -- C:\hiberfil.sys
[2012/06/26 18:06:16 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012/06/26 13:09:55 | 440,276,917 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\iPhone2,1_4.3.1_8G4_Restore.zip
[2012/06/26 12:28:14 | 011,928,264 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\1036_redsn0w_win_0.9.6rc12.zip
[2012/06/26 12:23:52 | 000,002,163 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Safari.lnk
[2012/06/26 12:22:11 | 000,348,504 | ---- | M] (SweetIM Technologies Ltd.) -- C:\Dokumente und Einstellungen\Daniel\Desktop\sweetimsetup.exe
[2012/06/26 12:18:20 | 000,001,524 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2012/06/26 12:07:00 | 077,251,480 | ---- | M] (Apple Inc.) -- C:\Dokumente und Einstellungen\Daniel\Desktop\iTunesSetup.exe
[2012/05/04 06:13:53 | 000,081,620 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\raumplan.jpg
[2012/05/04 06:12:08 | 000,002,181 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Apple Safari.lnk
[2012/04/25 05:11:36 | 004,547,944 | ---- | M] (Apple, Inc.) -- C:\WINDOWS\System32\usbaaplrc.dll
[2012/03/22 13:25:48 | 000,321,507 | ---- | M] () -- C:\WINDOWS\danny.xml
[2012/03/11 08:36:33 | 000,000,076 | ---- | M] () -- C:\WINDOWS\userList.xml
[2012/02/24 08:19:22 | 000,289,296 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012/02/24 07:24:33 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013/01/28 13:05:28 | 3220,160,512 | -HS- | C] () -- C:\hiberfil.sys
[2012/06/26 13:09:01 | 440,276,917 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\iPhone2,1_4.3.1_8G4_Restore.zip
[2012/06/26 12:28:14 | 011,928,264 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\1036_redsn0w_win_0.9.6rc12.zip
[2012/06/26 12:18:20 | 000,001,524 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2012/05/04 06:13:53 | 000,081,620 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\raumplan.jpg
[2012/03/11 15:55:54 | 000,321,507 | ---- | C] () -- C:\WINDOWS\danny.xml
[2012/03/11 08:36:33 | 000,000,076 | ---- | C] () -- C:\WINDOWS\userList.xml
[2012/02/23 02:48:08 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012/02/23 02:48:08 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\dllcache\iacenc.dll
[2012/01/30 14:31:44 | 000,839,680 | R--- | C] () -- C:\WINDOWS\System32\SaiC0BAC.Dll
[2012/01/30 14:31:44 | 000,008,704 | R--- | C] () -- C:\WINDOWS\System32\SaiC0BAC_0C.dll
[2012/01/30 14:31:44 | 000,008,192 | R--- | C] () -- C:\WINDOWS\System32\SaiC0BAC_10.dll
[2012/01/30 14:31:44 | 000,008,192 | R--- | C] () -- C:\WINDOWS\System32\SaiC0BAC_0A.dll
[2012/01/30 14:31:44 | 000,008,192 | R--- | C] () -- C:\WINDOWS\System32\SaiC0BAC_07.dll
[2012/01/30 14:31:44 | 000,007,680 | R--- | C] () -- C:\WINDOWS\System32\SaiC0BAC_09.dll
[2012/01/30 14:31:44 | 000,007,168 | R--- | C] () -- C:\WINDOWS\System32\SaiC0BAC_0402.dll
[2012/01/30 14:31:44 | 000,005,632 | R--- | C] () -- C:\WINDOWS\System32\SaiC0BAC_11.dll
[2012/01/25 16:34:28 | 000,239,768 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2011/11/29 10:24:30 | 000,098,304 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2011/11/24 11:10:57 | 000,080,896 | ---- | C] () -- C:\WINDOWS\cadkasdeinst01.exe
[2011/03/15 09:39:30 | 000,252,080 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2011/03/15 09:39:28 | 000,252,080 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2011/03/15 09:39:28 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2011/03/15 09:39:22 | 002,292,678 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2011/03/15 08:46:20 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\LGErrorHandler.dll
[2011/02/10 16:54:20 | 000,000,127 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2011/01/18 14:42:36 | 000,001,940 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\{96C87F53-AC72-4604-A9CC-186A49F17F3C}.ini
[2011/01/18 14:37:34 | 000,001,940 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\{96C87F53-AC72-4604-A9CC-186A49F17F3C}.ini
[2010/12/09 13:56:33 | 000,000,515 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\user.ini
[2010/12/09 11:20:17 | 000,021,504 | ---- | C] () -- C:\WINDOWS\jestertb.dll
[2010/11/24 09:47:37 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2010/11/15 15:43:43 | 001,773,568 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vlc-1.1.4-win32.exe
[2010/10/14 15:56:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010/09/16 15:07:59 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2010/06/08 08:19:24 | 000,692,224 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll
[2010/06/08 08:19:24 | 000,151,552 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll
[2010/05/30 12:03:18 | 000,000,025 | ---- | C] () -- C:\WINDOWS\popcinfot.dat
[2010/04/20 09:31:43 | 000,936,832 | ---- | C] () -- C:\WINDOWS\System32\M2ElevatedCalls.dll
[2009/12/10 20:13:36 | 000,024,222 | ---- | C] () -- C:\WINDOWS\System32\smtpctrs.ini
[2009/12/10 20:13:35 | 000,001,137 | ---- | C] () -- C:\WINDOWS\System32\ntfsdrct.ini
[2009/12/10 20:13:16 | 000,061,950 | ---- | C] () -- C:\WINDOWS\System32\w3ctrs.ini
[2009/12/10 20:13:16 | 000,016,173 | ---- | C] () -- C:\WINDOWS\System32\axperf.ini
[2009/12/10 20:13:15 | 000,017,590 | ---- | C] () -- C:\WINDOWS\System32\infoctrs.ini
[2009/09/22 15:00:40 | 000,001,984 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2009/09/16 12:10:33 | 000,061,416 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2009/08/03 09:07:42 | 000,403,816 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll
[2009/08/03 09:07:42 | 000,230,768 | ---- | C] () -- C:\WINDOWS\System32\OGAEXEC.exe
[2009/03/20 10:15:27 | 000,000,083 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\X-Plane Installer.prf
[2009/02/22 16:24:37 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\CNMVS6f.DLL
[2009/02/22 16:14:10 | 000,000,516 | ---- | C] () -- C:\WINDOWS\MAXLINK.INI
[2009/02/22 15:50:49 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini
[2009/01/28 11:39:03 | 000,147,968 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/01/28 10:01:10 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/01/22 14:22:01 | 002,026,604 | ---- | C] () -- C:\WINDOWS\System32\igkrng500.bin
[2009/01/22 14:22:01 | 000,442,964 | ---- | C] () -- C:\WINDOWS\System32\igcompkrng500.bin
[2009/01/22 14:22:01 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4977.dll
[2009/01/22 14:21:55 | 000,077,824 | ---- | C] () -- C:\WINDOWS\setpwr32.exe
[2009/01/22 14:21:20 | 000,001,500 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2009/01/22 06:50:12 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2009/01/22 06:37:55 | 000,000,234 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2008/04/25 10:06:53 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/04/25 10:02:41 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008/04/25 09:57:56 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/04/25 09:57:02 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2008/04/25 04:46:09 | 000,585,132 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008/04/25 04:46:09 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008/04/25 04:46:09 | 000,131,276 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008/04/25 04:46:09 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008/04/25 04:45:57 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008/04/25 04:45:56 | 000,545,280 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008/04/25 04:45:56 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008/04/25 04:45:56 | 000,110,016 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008/04/25 04:45:56 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008/04/25 04:45:55 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008/04/25 04:45:55 | 000,004,627 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008/04/25 04:45:53 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2008/04/25 04:45:50 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008/04/25 04:45:50 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008/04/25 04:45:46 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008/04/25 04:45:43 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/04/24 20:52:36 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008/04/24 20:51:36 | 000,289,296 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
 
========== LOP Check ==========
 
[2011/03/23 16:29:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Azureus
[2011/11/29 10:24:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Babylon
[2011/11/29 10:25:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\BabylonToolbar
[2011/01/25 14:38:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Canon
[2009/01/29 09:41:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\DassaultSystemes
[2009/09/26 13:29:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\FL_SIM_H4_DEMO_D
[2009/01/29 10:25:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mathsoft
[2010/06/03 15:41:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Nokia
[2012/01/07 07:06:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\OpenCandy
[2010/01/30 05:49:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\PC Suite
[2010/09/21 11:27:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\pdfforge
[2009/09/29 13:37:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Ringtone Expressions
[2009/02/22 16:14:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ScanSoft
[2010/05/06 15:53:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Search Settings
[2012/01/12 14:23:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\searchquband
[2012/02/23 02:50:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\searchqutoolbar
[2012/01/01 14:09:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\SkyTestBU1
[2012/01/31 12:39:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\SkyTestFQ0
[2009/09/22 12:23:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Tific
[2010/01/21 11:29:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\TuneUp Software
[2010/05/06 15:54:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\YouTube Downloader
[2011/11/29 10:24:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon
[2012/01/12 14:22:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess
[2010/01/21 10:51:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DassaultSystemes
[2010/11/07 10:09:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1
[2011/09/21 10:55:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mquadr.at
[2010/01/30 05:39:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NokiaMusic
[2010/01/30 05:48:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2009/09/22 12:10:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PCSettings
[2010/05/30 10:41:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap Games
[2009/02/22 16:14:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
[2009/02/22 16:14:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanWizard
[2009/01/22 06:41:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SupportSoft
[2012/06/26 12:23:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM
[2010/01/21 11:31:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2010/11/24 09:44:44 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{0363B655-88A9-40D1-8BA2-1FBDEE0FBBA7}
[2010/11/24 09:45:16 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{34AE33A9-0ECB-48FA-85AA-DE1623D88EC7}
[2010/06/01 15:32:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009/09/22 14:57:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2012/01/12 14:23:35 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{B49A644A-1076-4A3D-B124-DAA7862F2318}
[2010/11/06 09:08:36 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D31F35CE-B39D-42B4-A6D4-C604E95BB0E7}
[2010/01/21 11:28:30 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2011/09/21 10:54:54 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{E20C9620-7DFA-4C75-8F3B-02E4B3F4D981}
 
========== Purity Check ==========
 
 
< End of report >

--- --- ---

Fall es etwas hilft: es ist so um den Juni herum also 06/2012 passiert!

cosinus · 29.01.2013, 09:36

Zitat:

Fall es etwas hilft: es ist so um den Juni herum also 06/2012 passiert!

Seit einem halben Jahr quälst du dich mit dieser gesperrten Kiste rum?!

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\soap0_pack.exe) - C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\soap0_pack.exe ()
O31 - SafeBoot: AlternateShell - C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\soap0_pack.exe
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Danny777 · 29.01.2013, 14:22

hallo,
ja leider seit 6 monaten, bin so froh das ich auf eure seite gestoßen bin, denn es funktioniert wieder

ihr seid echt die besten

trotzdem hier die logfile

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\soap0_pack.exe deleted successfully.
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\soap0_pack.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\\AlternateShell deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.48.0 log created on 01292013_142822

die datei habe ich auch bereits hochgeladen, ich hoffe es hat alles funktioniert.

ich danke dir so sehr

es ist echt schön endlich wieder auf meinen computer zugreifen zu können, danke danke danke danke danke

mein computer funktioniert jetzt zwar wieder aber meine frage ist ob ich jetzt fertig bin, also ob ich den computer jetzt wieder einwandfrei verwenden kann?

cosinus · 29.01.2013, 14:52

Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Danny777 · 30.01.2013, 12:46

hier die txt-dateien
GMER

GMER 2.0.18454 - GMER - Rootkit Detector and Remover
Rootkit scan 2013-01-30 12:54:42
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 ST350062 rev.DE13 465,76GB
Running: gmer_2.0.18454.exe; Driver: C:\DOKUME~1\Daniel\LOKALE~1\Temp\kxtdapob.sys

---- System - GMER 2.0 ----

SSDT sptd.sys ZwCreateKey [0xB7EBE0D0]
SSDT sptd.sys ZwEnumerateKey [0xB7EC3FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xB7EC4340]
SSDT sptd.sys ZwOpenKey [0xB7EBE0B0]
SSDT sptd.sys ZwQueryKey [0xB7EC4418]
SSDT sptd.sys ZwQueryValueKey [0xB7EC4298]
SSDT sptd.sys ZwSetValueKey [0xB7EC44AA]

---- Kernel code sections - GMER 2.0 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB606F3A0, 0x5FE082, 0xE8000020]
.text USBPORT.SYS!DllUnload B604F8AC 5 Bytes JMP 8A5B81C8
? C:\DOKUME~1\Daniel\LOKALE~1\Temp\aswMBR.sys Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 2.0 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EBEAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EBEC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EBEB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EBF748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EBF61E] sptd.sys

---- Registry - GMER 2.0 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x8B 0x6E 0x54 0x19 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x8B 0x6E 0x54 0x19 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x8B 0x6E 0x54 0x19 ...

---- EOF - GMER 2.0 ----

aswMBR:

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-01-30 12:00:07
-----------------------------
12:00:07.609 OS Version: Windows 5.1.2600 Service Pack 3
12:00:07.609 Number of processors: 4 586 0x170A
12:00:07.609 ComputerName: DANNY UserName:
12:00:08.875 Initialze error C000010E - driver not loaded
12:00:14.656 AVAST engine defs: 13013000
12:00:18.468 Service scanning
12:00:31.343 Service sptd C:\WINDOWS\System32\Drivers\sptd.sys **LOCKED** 32
12:00:34.734 Modules scanning
12:00:34.734 Disk 0 trace - called modules:
12:00:34.734
12:00:35.687 AVAST engine scan C:\WINDOWS
12:00:55.328 AVAST engine scan C:\WINDOWS\system32
12:03:20.078 AVAST engine scan C:\WINDOWS\system32\drivers
12:03:39.265 AVAST engine scan C:\Dokumente und Einstellungen\Daniel
12:37:24.937 File: C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\10776.exe **INFECTED** Win32:AutoRun-BSF [Trj]
12:37:25.109 File: C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\1573.exe **INFECTED** Win32:AutoRun-BRS [Trj]
12:37:25.906 File: C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\206.exe **INFECTED** Win32:Morphex [Cryp]
12:37:25.968 File: C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\221.exe **INFECTED** Win32:Morphex [Cryp]
12:37:27.546 File: C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\62646.exe **INFECTED** Win32:Morphex [Cryp]
12:37:27.796 File: C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\6713505.exe **INFECTED** Win32:AutoRun-BRS [Trj]
12:37:27.875 File: C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\73974.exe **INFECTED** Win32:Morphex [Cryp]
12:37:40.812 File: C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\bi5vf6a3.tmp\PDFConverterSetup.exe **INFECTED** Win32:Malware-gen
12:44:26.421 AVAST engine scan C:\Dokumente und Einstellungen\All Users
12:44:49.562 Scan finished successfully
12:45:47.296 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Daniel\Desktop\aswMBR.txt"

cosinus · 30.01.2013, 13:23

Die Logs bitte in CODE-Tags!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Malwarebytes Anti-Rootkit

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Danny777 · 30.01.2013, 15:06

habe den scan 2x durchlaufen lassen und beim 2ten mal wurde nichts mehr gefunden.

file nach dem 1ten durchlauf

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1017
www.malwarebytes.org

Database version: v2013.01.30.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Daniel :: DANNY [administrator]

30.01.2013 14:45:52
mbar-log-2013-01-30 (14-45-52).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 30594
Time elapsed: 19 minute(s), 39 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 2
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoViewContextMenu (PUM.RightClick.Disabled) -> Bad: (1) Good: (0) -> Delete on reboot.
HKLM\SOFTWARE\POLICIES\MICROSOFT\INTERNET EXPLORER\RESTRICTIONS|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Bad: (1) Good: (0) -> Delete on reboot.

Folders Detected: 0
(No malicious items detected)

Files Detected: 5
c:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\1573.exe (Heuristics.Shuriken) -> Delete on reboot.
c:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\6713505.exe (Heuristics.Shuriken) -> Delete on reboot.
c:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\73974.exe (Trojan.Agent) -> Delete on reboot.
c:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\221.exe (Worm.Palevo.Gen) -> Delete on reboot.
c:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\bi5vf6a3.tmp\PDFConverterSetup.exe (Adware.Agent) -> Delete on reboot.

(end)

file nach dem 2ten durchlauf

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1017
www.malwarebytes.org

Database version: v2013.01.30.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Daniel :: DANNY [administrator]

30.01.2013 15:17:16
mbar-log-2013-01-30 (15-17-16).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 30532
Time elapsed: 18 minute(s), 53 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

cosinus · 30.01.2013, 15:29

Gut

Bitte neue Logs mit GMER und aswMBR machen

Danny777 · 30.01.2013, 17:39

Gmer:

Code:

ATTFilter

GMER 2.0.18454 - hxxp://www.gmer.net
Rootkit scan 2013-01-30 15:53:17
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 ST350062 rev.DE13 465,76GB
Running: gmer_2.0.18454.exe; Driver: C:\DOKUME~1\Daniel\LOKALE~1\Temp\kxtdapob.sys


---- System - GMER 2.0 ----

SSDT    sptd.sys                                                                                              ZwCreateKey [0xB7EBE0D0]
SSDT    sptd.sys                                                                                              ZwEnumerateKey [0xB7EC3FB2]
SSDT    sptd.sys                                                                                              ZwEnumerateValueKey [0xB7EC4340]
SSDT    sptd.sys                                                                                              ZwOpenKey [0xB7EBE0B0]
SSDT    \??\C:\WINDOWS\system32\drivers\mbamchameleon.sys                                                     ZwOpenProcess [0xA75BAC4C]
SSDT    \??\C:\WINDOWS\system32\drivers\mbamchameleon.sys                                                     ZwOpenThread [0xA75BAD3C]
SSDT    sptd.sys                                                                                              ZwQueryKey [0xB7EC4418]
SSDT    sptd.sys                                                                                              ZwQueryValueKey [0xB7EC4298]
SSDT    sptd.sys                                                                                              ZwSetValueKey [0xB7EC44AA]

Code    \??\C:\WINDOWS\system32\drivers\mbamchameleon.sys                                                     KeInsertQueueApc

---- Kernel code sections - GMER 2.0 ----

.text   ntkrnlpa.exe!KeInsertQueueApc                                                                         804FC48A 5 Bytes  JMP A75BD050 \??\C:\WINDOWS\system32\drivers\mbamchameleon.sys
?       imofugc.sys                                                                                           Das System kann die angegebene Datei nicht finden. !
?       C:\WINDOWS\system32\drivers\sptd.sys                                                                  Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text   C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                              section is writeable [0xB651C3A0, 0x5FE082, 0xE8000020]
.text   USBPORT.SYS!DllUnload                                                                                 B64FC8AC 5 Bytes  JMP 8B2041C8 

---- Modules - GMER 2.0 ----

Module  (noname) (*** hidden *** )                                                                            895D3000-896AC000 (888832 bytes)                                                                  

---- Threads - GMER 2.0 ----

Thread  System [4:3204]                                                                                       896194CA

---- Registry - GMER 2.0 ----

Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)  
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                       0
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                    0x8B 0x6E 0x54 0x19 ...
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)  
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                       0
Reg     HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                    0x8B 0x6E 0x54 0x19 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                    771343423
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                    285507792
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                    1
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                      
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                   0
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                0x8B 0x6E 0x54 0x19 ...

---- EOF - GMER 2.0 ----

aswMBR

Code:

ATTFilter

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-01-30 15:57:14
-----------------------------
15:57:14.593    OS Version: Windows 5.1.2600 Service Pack 3
15:57:14.593    Number of processors: 4 586 0x170A
15:57:14.593    ComputerName: DANNY  UserName: 
15:57:16.093    Initialize success
15:57:29.265    AVAST engine defs: 13013000
15:57:35.750    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
15:57:35.750    Disk 0 Vendor: ST350062 DE13 Size: 476940MB BusType: 3
15:57:35.781    Disk 0 MBR read successfully
15:57:35.781    Disk 0 MBR scan
15:57:35.828    Disk 0 Windows VISTA default MBR code
15:57:35.843    Disk 0 Partition 1 00     DE Dell Utility Dell 8.0       86 MB offset 63
15:57:35.859    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       476851 MB offset 176715
15:57:35.859    Disk 0 scanning sectors +976768065
15:57:35.937    Disk 0 scanning C:\WINDOWS\system32\drivers
15:57:44.250    Service scanning
15:57:58.843    Service sptd C:\WINDOWS\System32\Drivers\sptd.sys **LOCKED** 32
15:58:02.718    Modules scanning
15:58:07.703    Disk 0 trace - called modules:
15:58:07.703    ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8b18e1e8]<<
15:58:07.703    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8b2157b8]
15:58:07.718    3 CLASSPNP.SYS[b80e8fd7] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x8ab4c028]
15:58:07.718    \Driver\iaStor[0x8b1f9f38] -> IRP_MJ_CREATE -> 0x8b18e1e8
15:58:14.656    AVAST engine scan C:\WINDOWS
15:58:37.156    AVAST engine scan C:\WINDOWS\system32
16:01:15.562    AVAST engine scan C:\WINDOWS\system32\drivers
16:01:32.781    AVAST engine scan C:\Dokumente und Einstellungen\Daniel
17:34:08.781    File: C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\10776.exe  **INFECTED** Win32:AutoRun-BSF [Trj]
17:34:10.453    File: C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\206.exe  **INFECTED** Win32:Morphex [Cryp]
17:34:14.203    File: C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\62646.exe  **INFECTED** Win32:Morphex [Cryp]
17:49:02.250    AVAST engine scan C:\Dokumente und Einstellungen\All Users
17:51:20.921    Scan finished successfully
17:51:29.343    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Daniel\Desktop\MBR.dat"
17:51:29.343    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Daniel\Desktop\aswMBR.txt"

cosinus · 31.01.2013, 10:49

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Danny777 · 31.01.2013, 11:39

combofix

Code:

ATTFilter

Combofix Logfile:

	Code: 

 ATTFilter

  
	ComboFix 13-01-30.04 - Daniel 31.01.2013  11:43:52.1.4 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.43.1031.18.3071.2395 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Daniel\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\vlc-1.1.4-win32.exe
c:\programme\DealPly
c:\programme\DealPly\DealPly.crx
c:\programme\DealPly\DealPly.xpi
c:\programme\DealPly\DealPlyIE.dll
c:\programme\DealPly\DealPlyUpdate.exe
c:\programme\DealPly\DealPlyUpdateRun.exe
c:\programme\DealPly\icon.ico
c:\programme\DealPly\uninst.exe
c:\programme\pdfforge Toolbar\IE\1.1.2\pdFForgetoolbarie.dll
c:\programme\pdfforge Toolbar\SeARchsettings.dll
c:\programme\YouTube Downloader Toolbar\IE\1.0\yoUTubedownloadertoolbarie.dll
c:\windows\EventSystem.log
c:\windows\IsUn0407.exe
c:\windows\jestertb.dll
c:\windows\system32\Cache
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
c:\windows\wininit.ini
.
c:\windows\system32\drivers\i8042prt.sys . . . fehlt!!
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-28 bis 2013-01-31  ))))))))))))))))))))))))))))))
.
.
2013-01-30 13:25 . 2013-01-30 13:25	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-01-29 19:28 . 2013-01-29 19:28	--------	d-----w-	C:\_OTL
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2006-09-11 218032]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-18 16806912]
"8169Diag"="c:\programme\Realtek\Diagnostics Utility\8169Diag.exe" [2008-02-26 909312]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-07-20 182808]
"dscactivate"="c:\programme\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-08-18 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-08-18 178712]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-08-18 150040]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"XboxStat"="c:\programme\Microsoft Xbox 360 Accessories\XboxStat.exe" [2007-09-27 734264]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-04-13 47392]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"SearchSettings"="c:\programme\pdfforge Toolbar\SearchSettings.exe" [2010-01-07 974848]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2011-01-07 111208]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-01-07 13880424]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2010-11-04 1753192]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-11-29 421888]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"Start WingMan Profiler"="c:\programme\Logitech\Gaming Software\LWEMon.exe" [2010-06-14 153672]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-06-07 421776]
"SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2012-05-29 115032]
"Sweetpacks Communicator"="c:\programme\SweetIM\Communicator\SweetPacksUpdateManager.exe" [2012-02-26 295728]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
EasySetPackage.lnk - c:\programme\LG Soft India\EasySetPackage\bin\EasySetPackage.exe [2011-3-15 159744]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NIS"=2 (0x2)
"iPod Service"=3 (0x3)
"gupdate"=2 (0x2)
"Bonjour Service"=2 (0x2)
"Application Updater"=2 (0x2)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Windows iLivid Toolbar\\Datamngr\\ToolBar\\dtUser.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\system32\\msiexec.exe"=
"c:\\Programme\\SweetIM\\Communicator\\SweetPacksUpdateManager.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:UDP"= 5353:UDP:Bonjour
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.01.2009 15:38 685816]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [24.04.2007 16:52 16688]
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [21.09.2011 16:54 114432]
R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [21.09.2011 16:54 100736]
R3 LGDDCDevice;LGDDCDevice;c:\windows\system32\LGI2CDriver.sys [15.03.2011 14:46 16384]
S2 LANPkt;Realtek LANPkt Protocol Driver;c:\windows\system32\drivers\LANPkt.sys [22.01.2009 12:36 8960]
S3 Diag69xp;Diag69xp;c:\windows\system32\drivers\diag69xp.sys [22.01.2009 12:36 11264]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [22.01.2009 20:22 110080]
S3 LGII2CDevice;LGII2CDevice;c:\windows\system32\LGPII2CDriver.sys [15.03.2011 14:46 19456]
S3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [21.09.2011 16:54 9216]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [22.09.2009 20:55 18432]
S3 RTLVLAN;Realtek VLAN Intermediate Driver;c:\windows\system32\drivers\RTLVLAN.SYS [22.01.2009 12:36 16640]
S3 SaiH0BAC;SaiH0BAC;c:\windows\system32\drivers\SaiH0BAC.sys [30.01.2012 20:31 135168]
S4 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [19.02.2010 18:43 380928]
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 16:57]
.
2013-01-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cdff9fca3e1884.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-17 18:28]
.
2013-01-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-17 18:28]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.babylon.com/?AF=100476&babsrc=HP_ss&mntrId=02582584000000000000001e101ffd65
uInternet Connection Wizard,ShellNext = hxxp://www1.euro.dell.com/content/default.aspx?c=at&l=de&s=gen
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: Interfaces\{159C287F-9E6B-4422-8A58-E0693329DB8E}: NameServer = 10.0.1.1
TCP: Interfaces\{D6386CDD-8CFF-418F-A71A-BCC72C2B15FE}: NameServer = 194.48.139.254 194.48.124.200
Handler: gmx - {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - c:\programme\GMX Toolbar IE8\uitb.dll
FF - ProfilePath - c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\y0izphtk.default\
FF - prefs.js: browser.search.selectedEngine - 
FF - prefs.js: browser.startup.homepage - hxxp://www.searchqu.com/406
FF - prefs.js: keyword.URL - hxxp://dts.search-results.com/sr?src=ffb&appid=113&systemid=406&sr=0&q=
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Babylon: ffxtlbr@babylon.com - %profile%\extensions\ffxtlbr@babylon.com
FF - Ext: SearchquToolbar: {99079a25-328f-4bd4-be04-00955acaa0a7} - %profile%\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7}
FF - Ext: DealPly: {EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} - %profile%\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
FF - Ext: SweetPacks Toolbar for Firefox: {EEE6C361-6118-11DC-9C72-001320C79847} - %profile%\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
FF - user.js: extensions.BabylonToolbar_i.id - 02582584000000000000001e101ffd65
FF - user.js: extensions.BabylonToolbar_i.hardId - 02582584000000000000001e101ffd65
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15307
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1716:25
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=100476
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
user_pref('extensions.dealply.partner', 'swim');
user_pref('extensions.dealply.channel', 'swimsimsdm');
user_pref('extensions.dealply.installId', 'v23900256437601905935522012062619233217');
user_pref('extensions.dealply.installIdSource', 'inst');
user_pref('extensions.dealply.sampleGroup', '7');
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-10 - (no file)
HKLM-Run-Nokia FastStart - c:\programme\Nokia\Nokia Music\NokiaMusic.exe
AddRemove-DealPly - c:\programme\DealPly\uninst.exe
AddRemove-Easy-WebPrint - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-31 11:49
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-31  11:51:17
ComboFix-quarantined-files.txt  2013-01-31 10:51
.
Vor Suchlauf: 14 Verzeichnis(se), 321.733.832.704 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 327.192.645.632 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 5C49AFDA539A7636303F584E1C97AD1E
         
 --- --- ---

30.01.2013, 15:29	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Kann nichts mehr machen außer weißen Bildschirm anstarren Gut Bitte neue Logs mit GMER und aswMBR machen __________________ Logfiles bitte immer in CODE-Tags posten

Kann nichts mehr machen außer weißen Bildschirm anstarren

Plagegeister aller Art und deren Bekämpfung: Kann nichts mehr machen außer weißen Bildschirm anstarren