Hey Leute, ich hoffe ihr könnte mir bei folgendem Problem helfen:

Als ich meinen Laptop hochgefahren habe (XP SP3) wurden beim start alle Programme auch geladen. Ich habe ein Programm gestartet und nach etwas 3 Minuten fängt der PC an zu hängen bis er vollkommen stecken bleibt. Ich kann gar nichts mehr machen. Ich habe lange auf den Ausknopf gedrückt.
Neu gestartet und dann bleibt er stecken bevor Windows gebootet wurde. Bei mir kommt als erstes ein Bild von dem HP Logo und dann startet Windows...
Es ist immer unterschiedlich. Mal laden die Programme und kurz darauf bleibt er hängen oder schon vor dem booten.
Im abgesicherten Modus läuft alles super. Ein Hardware Problem könnte es daher denke ich nicht sein. Hatte auch vor dem Booten unter F12 einen HDD-self Test gestartet und da war auch alles in Ordnung.

Hoffe ihr könnt mir Helfen!

Liebe Grüße

Eins vorweg: Dieses Problem bei einem XP zu lösen kann schwer bis unmöglich sein. Bereite dich in Gedanken auf eine Neuinstallation vor.

Kannst du abgesichert Booten? ggf nur mit Eingabeaufforderung?

So funktioniert es:
Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:

Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung

Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst. Keine Logfiles einsenden, nur kurzer Hinweis.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Also wenn zugriff auf deinen Laptop hast, dann lass uns mal sehen was da alles so ist:



Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

• Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
• Nur Scanns durchführen zu denen Du aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
• Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
• Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
• Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
• Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
• Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Gelesen und verstanden?


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält.

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield

Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 3:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 4:
Scan mit DDS+ (mit attach)

Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop.

dds.com

• Schließe alle laufenden Programme und starte DDS mit Doppelklick.
• Der Desktop wird verschwinden, das ist normal.
• Stelle folgendes ein:
  
  [X] dds.txt
  [X] attach.txt
  [ ] options for dds.txt
  
  
• Ändere keine Einstellung ohne Anweisung.
• Klicke auf Start.
• Es werden 2 Logfiles auf deinem Desktop erstellt.
  • dds.txt
  • attach.txt
• Poste die beiden Logfile hier, möglichst in CODE-Tags.

Adwcleaner

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.010 - Datei am 17/02/2013 um 02:29:36 erstellt
# Aktualisiert am 29/11/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : HP - NOTEBOOK-HP
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\HP\Eigene Dateien\Sicherheit\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [2481 octets] - [30/11/2012 13:44:10]
AdwCleaner[R2].txt - [2559 octets] - [30/11/2012 14:12:42]
AdwCleaner[S1].txt - [2460 octets] - [30/11/2012 14:13:00]
AdwCleaner[S2].txt - [781 octets] - [17/02/2013 02:29:36]

########## EOF - C:\AdwCleaner[S2].txt - [840 octets] ##########
         

DDS+

DDS Logfile:

Code: Alles auswählenAufklappen

ATTFilter

DDS (Ver_2012-11-20.01) - NTFS_x86 
Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 10.9.2
Run by HP at 2:36:42 on 2013-02-17
#Option MBR scan  is disabled.
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.644 [GMT 1:00]
.
AV: Microsoft Security Essentials *Enabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
============== Running Processes ================
.
c:\Programme\Microsoft Security Client\MsMpEng.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Java\jre7\bin\jqs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Orangenet\WTGService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\svchost.exe -k DcomLaunch
C:\WINDOWS\system32\svchost.exe -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k imgsvc
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://www.microsoft.com
mWindow Title = Microsoft Internet Explorer
mDefault_Page_URL = hxxp://www.microsoft.com
BHO: Octh Class: {000123B4-9B42-4900-B3F7-F4B073EFC214} - c:\programme\orbitdownloader\orbitcth.dll
BHO: Adobe PDF Link Helper: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: DivX Plus Web Player HTML5 <video>: {326E768D-4182-46FD-9C16-1449A49795F4} - c:\programme\divx\divx plus web player\ie\divxhtml5\DivXHTML5.dll
BHO: Groove GFS Browser Helper: {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - c:\programme\microsoft office\office14\GROOVEEX.DLL
BHO: Java(tm) Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\programme\java\jre7\bin\ssv.dll
BHO: Office Document Cache Handler: {B4F3A835-0E21-4959-BA22-42B3008E02FF} - c:\programme\microsoft office\office14\URLREDIR.DLL
BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - c:\programme\java\jre7\bin\jp2ssv.dll
TB: Grab Pro: {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - c:\programme\orbitdownloader\GrabPro.dll
TB: Grab Pro: {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - c:\programme\orbitdownloader\GrabPro.dll
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
dRun: [DWQueuedReporting] "c:\progra~1\gemein~1\micros~1\dw\dwtrig20.exe" -t
uPolicies-Explorer: NoDriveTypeAutoRun = dword:323
uPolicies-Explorer: NoDriveAutoRun = dword:67108863
uPolicies-Explorer: NoDrives = dword:0
mPolicies-Explorer: NoDriveAutoRun = dword:67108863
mPolicies-Explorer: NoDriveTypeAutoRun = dword:323
mPolicies-Explorer: NoDrives = dword:0
mPolicies-Explorer: NoDriveTypeAutoRun = dword:323
mPolicies-Explorer: NoDriveAutoRun = dword:67108863
IE: &Download by Orbit - c:\programme\orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\orbitdownloader\orbitmxt.dll/204
IE: An OneNote s&enden - c:\progra~1\micros~2\office14\ONBttnIE.dll/105
IE: Do&wnload selected by Orbit - c:\programme\orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\orbitdownloader\orbitmxt.dll/202
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\micros~2\office14\EXCEL.EXE/3000
IE: Senden an &Bluetooth - c:\programme\widcomm\bluetooth software\btsendto_ie_ctx.htm
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\programme\microsoft office\office14\ONBttnIE.dll
IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - c:\programme\microsoft office\office14\ONBttnIELinkedNotes.dll
IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\programme\widcomm\bluetooth software\btsendto_ie.htm
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://go.microsoft.com/fwlink/?linkid=39204
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1346406125562
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1346406169265
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\programme\gemeinsame dateien\microsoft shared\office14\MSOXMLMF.DLL
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\programme\gemeinsame dateien\skype\Skype4COM.dll
Notify: igfxcui - igfxdev.dll
SEH: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - c:\programme\microsoft office\office14\GROOVEEX.DLL
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\hp\anwendungsdaten\mozilla\firefox\profiles\vn024bks.default\
FF - plugin: c:\dokumente und einstellungen\hp\anwendungsdaten\mozilla\firefox\profiles\vn024bks.default\extensions\{c840e246-6b95-475e-9bd7-caa1c7eca9f2}\plugins\np-mswmp.dll
FF - plugin: c:\progra~1\micros~2\office14\NPAUTHZ.DLL
FF - plugin: c:\progra~1\micros~2\office14\NPSPWRAP.DLL
FF - plugin: c:\programme\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\programme\divx\divx ovs helper\npovshelper.dll
FF - plugin: c:\programme\divx\divx plus web player\npdivx32.dll
FF - plugin: c:\programme\java\jre7\bin\plugin2\npjp2.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_5_502_110.dll
FF - plugin: c:\windows\system32\npDeployJava1.dll
FF - plugin: c:\windows\system32\npptools.dll
.
---- FIREFOX POLICIES ----
FF - user.js: extensions.searchya.hmpg - false
FF - user.js: extensions.searchya.hmpgUrl - hxxp://www.searchya.com/?s=0&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965
FF - user.js: extensions.searchya.dfltSrch - false
FF - user.js: extensions.searchya.srchPrvdr - Search
FF - user.js: extensions.searchya.dnsErr - true
FF - user.js: extensions.searchya_i.newTab - false
FF - user.js: extensions.searchya.newTabUrl - hxxp://www.searchya.com/?s=2&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965
FF - user.js: extensions.searchya.tlbrSrchUrl - hxxp://www.searchya.com/?s=3&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965&q=
FF - user.js: extensions.searchya.id - 00904BF982CF8C1E
FF - user.js: extensions.searchya.instlDay - 15615
FF - user.js: extensions.searchya.vrsn - 1.5.25.0
FF - user.js: extensions.searchya.vrsni - 1.5.25.0
FF - user.js: extensions.searchya_i.vrsnTs - 1.5.25.08:42:24
FF - user.js: extensions.searchya.prtnrId - searchya
FF - user.js: extensions.searchya.prdct - searchya
FF - user.js: extensions.searchya.aflt - foxtab
FF - user.js: extensions.searchya_i.smplGrp - none
FF - user.js: extensions.searchya.tlbrId - base
FF - user.js: extensions.searchya.instlRef - tc-100
FF - user.js: extensions.searchya.dfltLng - 
FF - user.js: extensions.searchya.excTlbr - false
FF - user.js: extensions.searchya.autoRvrt - false
FF - user.js: extensions.searchya.envrmnt - production
FF - user.js: extensions.searchya.isdcmntcmplt - true
FF - user.js: extensions.searchya.mntrvrsn - 1.3.0
.
============= SERVICES / DRIVERS ===============
.
R0 MpFilter;Microsoft Malware Protection Driver;c:\windows\system32\drivers\MpFilter.sys [2012-8-30 193552]
R2 StarWindServiceAE;StarWind AE Service;c:\programme\alcohol soft\alcohol 120\starwind\StarWindServiceAE.exe [2009-12-23 370688]
R2 WTGService;WTGService;c:\programme\orangenet\WTGService.exe [2012-9-18 312784]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [2012-8-31 88192]
S2 AxAutoMntSrv;Alcohol Virtual Drive Auto-mount Service;c:\programme\alcohol soft\alcohol 120\AxAutoMntSrv.exe [2012-1-5 75624]
S2 SkypeUpdate;Skype Updater;c:\programme\skype\updater\Updater.exe [2012-7-13 160944]
S3 ZTEusbMB;ZTE NMEAExt2 Port;c:\windows\system32\drivers\ZTEusbnmeaext2.sys [2012-9-18 105088]
S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [2012-9-18 114688]
S3 ZTEusbnmeaext;ZTE NMEAExt Port;c:\windows\system32\drivers\ZTEusbnmeaext.sys [2012-9-18 105088]
S3 ZTEWMSD_637;ZTE WCDMA 637 Dummy MSD Device;c:\windows\system32\drivers\ZTEWMSD_637.sys [2012-9-18 15360]
.
=============== Created Last 30 ================
.
2013-02-16 20:44:57	6991832	----a-w-	c:\dokumente und einstellungen\all users\anwendungsdaten\microsoft\microsoft antimalware\definition updates\{adaeb0b6-267e-4b7e-b3c4-9f3e0b735748}\mpengine.dll
2013-02-15 01:19:12	6991832	------w-	c:\dokumente und einstellungen\all users\anwendungsdaten\microsoft\microsoft antimalware\definition updates\backup\mpengine.dll
2013-02-12 18:58:01	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\Zbshareware Lab
2013-02-12 18:57:45	--------	d-----w-	c:\programme\USB Disk Security
2013-02-07 01:31:18	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\IDM
.
==================== Find3M  ====================
.
2013-02-16 21:27:15	697712	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-16 21:27:14	74096	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-16 21:26:59	15739760	----a-w-	c:\windows\system32\FlashPlayerInstaller.exe
2013-01-30 10:53:21	232336	------w-	c:\windows\system32\MpSigStub.exe
2013-01-26 03:55:37	552448	----a-w-	c:\windows\system32\oleaut32.dll
2013-01-07 07:24:26	2195328	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-01-07 07:24:26	2072064	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-01-04 10:09:09	1867392	----a-w-	c:\windows\system32\win32k.sys
2013-01-02 06:49:00	148992	----a-w-	c:\windows\system32\mpg2splt.ax
2013-01-02 06:49:00	1297920	----a-w-	c:\windows\system32\quartz.dll
2012-12-16 12:23:59	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-12-14 15:49:28	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
.
============= FINISH:  2:37:29,87 ===============
         

--- --- ---


Attach

Code: Alles auswählenAufklappen

ATTFilter

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2012-11-20.01)
.
Microsoft Windows XP Professional
Boot Device: \Device\HarddiskVolume1
Install Date: 31.08.2012 11:04:45
System Uptime: 17.02.2013 02:34:00 (0 hours ago)
.
Motherboard: Hewlett-Packard |  | 099C
Processor:         Intel(R) Pentium(R) M processor 1.73GHz | JP12 | 1728/133mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 56 GiB total, 14,805 GiB free.
D: is CDROM ()
F: is CDROM ()
G: is CDROM ()
H: is CDROM ()
J: is CDROM ()
K: is CDROM ()
.
==== Disabled Device Manager Items =============
.
Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Broadcom 802.11b/g WLAN
Device ID: PCI\VEN_14E4&DEV_4318&SUBSYS_1356103C&REV_02\4&AD1B67F&0&20F0
Manufacturer: Broadcom
Name: Broadcom 802.11b/g WLAN
PNP Device ID: PCI\VEN_14E4&DEV_4318&SUBSYS_1356103C&REV_02\4&AD1B67F&0&20F0
Service: BCM43XX
.
Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: 1394-Netzwerkadapter
Device ID: V1394\NIC1394\293D3AA6718B5000
Manufacturer: Microsoft
Name: 1394-Netzwerkadapter
PNP Device ID: V1394\NIC1394\293D3AA6718B5000
Service: NIC1394
.
Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Broadcom NetXtreme Gigabit Ethernet
Device ID: PCI\VEN_14E4&DEV_165E&SUBSYS_099C103C&REV_03\4&AD1B67F&0&70F0
Manufacturer: Broadcom
Name: Broadcom NetXtreme Gigabit Ethernet
PNP Device ID: PCI\VEN_14E4&DEV_165E&SUBSYS_099C103C&REV_03\4&AD1B67F&0&70F0
Service: b57w2k
.
==== System Restore Points ===================
.
No restore point in system.
.
==== Installed Programs ======================
.
Adobe Flash Player 11 ActiveX
Adobe Flash Player 11 Plugin
Adobe Reader X (10.1.5) - Deutsch
Agere Systems AC'97 Modem
ASIO4ALL
Audacity 2.0.2
Broadcom 440x 10/100 Integrated Controller
Broadcom 802.11 Wireless LAN Adapter
Broadcom NetXtreme Ethernet Controller
Counter-Strike 1.6: New Era
DAEMON Tools Pro
Definition Update for Microsoft Office 2010 (KB982726) 32-Bit Edition
DivX-Setup
ESET Online Scanner v3
FL Studio 10
GameShadow
GOM Player
Guitar Pro 5.2
Hotfix für Windows XP (KB2633952)
Hotfix für Windows XP (KB2756822)
Hotfix für Windows XP (KB2779562)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows XP (KB954550-v5)
Hotfix for Windows XP (KB976002-v5)
HP Integrated Module with Bluetooth wireless technology
IL Download Manager
Intel(R) Graphics Media Accelerator Driver for Mobile
Internet Download Manager 5.18.8.0
Java 7 Update 9
Java Auto Updater
LAME v3.99.3 (for Windows)
LingoDict 2.1.1
Malwarebytes Anti-Malware Version 1.70.0.1100
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Application Error Reporting
Microsoft Office 2010 Service Pack 1 (SP1)
Microsoft Office Access MUI (German) 2010
Microsoft Office Excel MUI (German) 2010
Microsoft Office Groove MUI (German) 2010
Microsoft Office InfoPath MUI (German) 2010
Microsoft Office OneNote MUI (German) 2010
Microsoft Office Outlook MUI (German) 2010
Microsoft Office PowerPoint MUI (German) 2010
Microsoft Office Professional Plus 2010
Microsoft Office Proof (English) 2010
Microsoft Office Proof (French) 2010
Microsoft Office Proof (German) 2010
Microsoft Office Proof (Italian) 2010
Microsoft Office Proofing (German) 2010
Microsoft Office Publisher MUI (German) 2010
Microsoft Office Shared MUI (German) 2010
Microsoft Office Word MUI (German) 2010
Microsoft Security Client
Microsoft Security Essentials
Microsoft Software Update for Web Folders  (German) 14
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
Mozilla Firefox 15.0.1 (x86 de)
Mozilla Maintenance Service
Orange net
Orbit Downloader
Quick Launch Buttons 5.10 B5
Rosetta Stone Version 3
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2604111)
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2657424)
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2736416)
Security Update for Microsoft Excel 2010 (KB2597126) 32-Bit Edition
Security Update for Microsoft InfoPath 2010 (KB2687417) 32-Bit Edition
Security Update for Microsoft InfoPath 2010 (KB2687436) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2553091)
Security Update for Microsoft Office 2010 (KB2553096)
Security Update for Microsoft Office 2010 (KB2553371) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2553447) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2589320) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2589337) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2597986) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2598243) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2687501) 32-Bit Edition
Security Update for Microsoft Office 2010 (KB2687510) 32-Bit Edition
Security Update for Microsoft Visio 2010 (KB2687508) 32-Bit Edition
Security Update for Microsoft Visio Viewer 2010 (KB2598287) 32-Bit Edition
Security Update for Microsoft Word 2010 (KB2760410) 32-Bit Edition
Sicherheitsupdate für Microsoft Windows (KB2564958)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2618444)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2722913)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2744842)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2761465)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2797052)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2799329)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)
Sicherheitsupdate für Windows Media Player (KB2378111)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player (KB975558)
Sicherheitsupdate für Windows Media Player (KB978695)
Sicherheitsupdate für Windows XP (KB2115168)
Sicherheitsupdate für Windows XP (KB2229593)
Sicherheitsupdate für Windows XP (KB2296011)
Sicherheitsupdate für Windows XP (KB2347290)
Sicherheitsupdate für Windows XP (KB2360937)
Sicherheitsupdate für Windows XP (KB2387149)
Sicherheitsupdate für Windows XP (KB2393802)
Sicherheitsupdate für Windows XP (KB2419632)
Sicherheitsupdate für Windows XP (KB2423089)
Sicherheitsupdate für Windows XP (KB2440591)
Sicherheitsupdate für Windows XP (KB2443105)
Sicherheitsupdate für Windows XP (KB2476490)
Sicherheitsupdate für Windows XP (KB2478960)
Sicherheitsupdate für Windows XP (KB2478971)
Sicherheitsupdate für Windows XP (KB2479943)
Sicherheitsupdate für Windows XP (KB2481109)
Sicherheitsupdate für Windows XP (KB2483185)
Sicherheitsupdate für Windows XP (KB2485663)
Sicherheitsupdate für Windows XP (KB2506212)
Sicherheitsupdate für Windows XP (KB2507618)
Sicherheitsupdate für Windows XP (KB2507938)
Sicherheitsupdate für Windows XP (KB2508429)
Sicherheitsupdate für Windows XP (KB2509553)
Sicherheitsupdate für Windows XP (KB2510581)
Sicherheitsupdate für Windows XP (KB2535512)
Sicherheitsupdate für Windows XP (KB2536276-v2)
Sicherheitsupdate für Windows XP (KB2544521)
Sicherheitsupdate für Windows XP (KB2544893-v2)
Sicherheitsupdate für Windows XP (KB2566454)
Sicherheitsupdate für Windows XP (KB2570947)
Sicherheitsupdate für Windows XP (KB2584146)
Sicherheitsupdate für Windows XP (KB2585542)
Sicherheitsupdate für Windows XP (KB2592799)
Sicherheitsupdate für Windows XP (KB2598479)
Sicherheitsupdate für Windows XP (KB2603381)
Sicherheitsupdate für Windows XP (KB2618451)
Sicherheitsupdate für Windows XP (KB2619339)
Sicherheitsupdate für Windows XP (KB2620712)
Sicherheitsupdate für Windows XP (KB2624667)
Sicherheitsupdate für Windows XP (KB2631813)
Sicherheitsupdate für Windows XP (KB2646524)
Sicherheitsupdate für Windows XP (KB2653956)
Sicherheitsupdate für Windows XP (KB2655992)
Sicherheitsupdate für Windows XP (KB2659262)
Sicherheitsupdate für Windows XP (KB2661637)
Sicherheitsupdate für Windows XP (KB2676562)
Sicherheitsupdate für Windows XP (KB2686509)
Sicherheitsupdate für Windows XP (KB2691442)
Sicherheitsupdate für Windows XP (KB2695962)
Sicherheitsupdate für Windows XP (KB2698365)
Sicherheitsupdate für Windows XP (KB2705219)
Sicherheitsupdate für Windows XP (KB2707511)
Sicherheitsupdate für Windows XP (KB2712808)
Sicherheitsupdate für Windows XP (KB2719985)
Sicherheitsupdate für Windows XP (KB2722913)
Sicherheitsupdate für Windows XP (KB2723135)
Sicherheitsupdate für Windows XP (KB2724197)
Sicherheitsupdate für Windows XP (KB2727528)
Sicherheitsupdate für Windows XP (KB2731847)
Sicherheitsupdate für Windows XP (KB2753842-v2)
Sicherheitsupdate für Windows XP (KB2753842)
Sicherheitsupdate für Windows XP (KB2757638)
Sicherheitsupdate für Windows XP (KB2758857)
Sicherheitsupdate für Windows XP (KB2761226)
Sicherheitsupdate für Windows XP (KB2770660)
Sicherheitsupdate für Windows XP (KB2778344)
Sicherheitsupdate für Windows XP (KB2779030)
Sicherheitsupdate für Windows XP (KB2780091)
Sicherheitsupdate für Windows XP (KB2799494)
Sicherheitsupdate für Windows XP (KB2802968)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977816)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978338)
Sicherheitsupdate für Windows XP (KB978542)
Sicherheitsupdate für Windows XP (KB978706)
Sicherheitsupdate für Windows XP (KB979309)
Sicherheitsupdate für Windows XP (KB979482)
Sicherheitsupdate für Windows XP (KB979687)
Sicherheitsupdate für Windows XP (KB981322)
Sicherheitsupdate für Windows XP (KB981997)
Sicherheitsupdate für Windows XP (KB982132)
Sicherheitsupdate für Windows XP (KB982665)
Skype™ 5.10
SoundMAX
SRWare Iron Version SRWare Iron 19.0.1100.0
Synaptics Pointing Device Driver
Texas Instruments PCIxx21/x515/xx12 drivers.
TIPCI
UltraISO Premium V9.36
Update für Windows Internet Explorer 8 (KB2598845)
Update für Windows XP (KB2345886)
Update für Windows XP (KB2467659)
Update für Windows XP (KB2661254-v2)
Update für Windows XP (KB2718704)
Update für Windows XP (KB2736233)
Update für Windows XP (KB2749655)
Update für Windows XP (KB898461)
Update für Windows XP (KB951978)
Update für Windows XP (KB955759)
Update für Windows XP (KB968389)
Update für Windows XP (KB971029)
Update für Windows XP (KB973815)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update for Microsoft Office 2010 (KB2553065)
Update for Microsoft Office 2010 (KB2553092)
Update for Microsoft Office 2010 (KB2553181) 32-Bit Edition
Update for Microsoft Office 2010 (KB2553267) 32-Bit Edition
Update for Microsoft Office 2010 (KB2553378) 32-Bit Edition
Update for Microsoft Office 2010 (KB2566458)
Update for Microsoft Office 2010 (KB2596964) 32-Bit Edition
Update for Microsoft Office 2010 (KB2687509) 32-Bit Edition
Update for Microsoft Office 2010 (KB2760631) 32-Bit Edition
Update for Microsoft OneNote 2010 (KB2687277) 32-Bit Edition
Update for Microsoft Outlook 2010 (KB2597090) 32-Bit Edition
Update for Microsoft Outlook Social Connector 2010 (KB2553406) 32-Bit Edition
Update for Microsoft PowerPoint 2010 (KB2598240) 32-Bit Edition
Update for Microsoft SharePoint Workspace 2010 (KB2589371) 32-Bit Edition
VC80CRTRedist - 8.0.50727.6195
WebFldrs XP
Winamp
Winamp Erkennungs-Plug-in
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Format Runtime
WinRAR 4.11 (32-Bit)
.
==== End Of File ===========================
         

Bevor es weiter geht:

Ich sehe, dass du einen ESET Scan gemacht hast. Wurde da etwas gefunden? Wenn ja bitte das Logfile dazu.

Den scan habe ich nicht jetzt gemacht sondern schon etwas länger her... soll ich einen neuen machen?

Achso. Nein. Dann so :

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Entschuldigung, ich mache jetzt den Test. Ich bin auf der Dom Rep kriegst ihn dann in Deutschland so Mittags rum. Ich lasse ihn heute Nacht hier durchlaufen. Morgen früh dominikanische Zeit poste ich die Log-Datei. Sind 5 Stunden Unterschied.

Sorry habe den Test jetzt 2 mal gemacht, weil als ich beim ersten Test wieder kam, war den PC im Standby weil die Stromversorgung ausgefallen ist. Ich wusste nicht ob der Test ganz ausgeführt wurde... Deswegen habe ich einen 2. gemacht. Ich poste bei Log-Dateien.

1. Log-Datei

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-02-18.02 - HP 20.02.2013   2:44.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.609 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\HP\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-01-20 bis 2013-02-20  ))))))))))))))))))))))))))))))
.
.
2013-02-20 01:17 . 2013-02-20 01:18	--------	d-----w-	c:\dokumente und einstellungen\HP\Anwendungsdaten\IDM
2013-02-20 01:17 . 2013-02-20 01:17	--------	d-----w-	c:\programme\Internet Download Manager
2013-02-16 20:44 . 2013-01-08 04:57	6991832	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ADAEB0B6-267E-4B7E-B3C4-9F3E0B735748}\mpengine.dll
2013-02-15 01:19 . 2013-01-08 04:57	6991832	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-02-12 18:58 . 2013-02-12 18:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zbshareware Lab
2013-02-12 18:57 . 2013-02-12 18:57	--------	d-----w-	c:\programme\USB Disk Security
2013-02-12 18:55 . 2013-02-12 18:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2013-02-07 01:31 . 2013-02-07 01:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\IDM
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-16 21:27 . 2012-08-31 10:54	697712	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-16 21:27 . 2012-08-31 10:54	74096	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-16 21:26 . 2013-01-08 19:58	15739760	----a-w-	c:\windows\system32\FlashPlayerInstaller.exe
2013-01-30 10:53 . 2012-11-02 14:07	232336	------w-	c:\windows\system32\MpSigStub.exe
2013-01-26 03:55 . 2008-04-14 12:00	552448	----a-w-	c:\windows\system32\oleaut32.dll
2013-01-07 07:24 . 2008-04-14 12:00	2195328	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-01-07 07:24 . 2008-04-14 07:30	2072064	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-01-04 10:09 . 2008-04-14 12:00	1867392	----a-w-	c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2008-04-14 12:00	148992	----a-w-	c:\windows\system32\mpg2splt.ax
2013-01-02 06:49 . 2008-04-14 12:00	1297920	----a-w-	c:\windows\system32\quartz.dll
2012-12-26 20:06 . 2008-04-14 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2012-12-26 20:06 . 2008-04-14 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2012-12-26 20:06 . 2008-04-14 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-12-24 06:40 . 2008-04-14 12:00	385024	------w-	c:\windows\system32\html.iec
2012-12-16 12:23 . 2008-04-14 12:00	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-12-14 15:49 . 2012-10-24 07:48	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-09-06 01:26 . 2012-09-28 06:42	266720	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IDM Shell Extension]
@="{CDC95B92-E27C-4745-A8C5-64A52A78855D}"
[HKEY_CLASSES_ROOT\CLSID\{CDC95B92-E27C-4745-A8C5-64A52A78855D}]
2010-09-29 20:53	72336	----a-w-	c:\programme\Internet Download Manager\IDMShellExt.dll
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2010-12-20 519584]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Launcher.lnk
backup=c:\windows\pss\Launcher.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2012-01-05 15:42	75624	----a-w-	c:\programme\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
2005-12-10 14:57	133016	----a-w-	c:\programme\DAEMON Tools\daemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
2012-10-23 08:25	3108480	----a-w-	c:\programme\DAEMON Tools Pro\DTAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-07-28 23:08	1259376	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2012-07-13 11:33	17418928	----a-r-	c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2012-06-20 16:13	74752	----a-w-	c:\programme\Winamp\winampa.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Programme\\Winamp\\winamp.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=
"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\RosettaStoneVersion3.exe"=
"c:\\Programme\\Java\\jre7\\bin\\javaw.exe"=
"c:\\Programme\\SRWare Iron\\iron.exe"=
"c:\\Dokumente und Einstellungen\\HP\\Eigene Dateien\\Games\\Age Of Empires 2\\age2_x1\\age2_x1_1.0c.exe"=
"c:\\Dokumente und Einstellungen\\HP\\Eigene Dateien\\Games\\Age Of Empires 2\\age2_x1\\age2_x1_1.0.exe"=
"c:\\Programme\\Counter-Strike\\cstrike.exe"=
"c:\\Programme\\Counter-Strike\\hlds.exe"=
"c:\\Programme\\Counter-Strike\\hl.exe"=
.
R0 sptd;sptd;\SystemRoot\\SystemRoot\System32\Drivers\sptd.sys --> \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys [?]
R1 IDMTDI;IDMTDI;c:\windows\system32\drivers\idmtdi.sys [29.09.2010 19:56 78328]
R2 WTGService;WTGService;c:\programme\Orangenet\WTGService.exe [18.09.2012 17:21 312784]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [31.08.2012 12:00 88192]
S2 AxAutoMntSrv;Alcohol Virtual Drive Auto-mount Service;c:\programme\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [05.01.2012 16:42 75624]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [13.07.2012 12:28 160944]
S3 ZTEusbMB;ZTE NMEAExt2 Port;c:\windows\system32\drivers\ZTEusbnmeaext2.sys [18.09.2012 17:21 105088]
S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [18.09.2012 17:21 114688]
S3 ZTEusbnmeaext;ZTE NMEAExt Port;c:\windows\system32\drivers\ZTEusbnmeaext.sys [18.09.2012 17:21 105088]
S3 ZTEWMSD_637;ZTE WCDMA 637 Dummy MSD Device;c:\windows\system32\drivers\ZTEWMSD_637.sys [18.09.2012 17:21 15360]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - IDMTDI
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-31 21:27]
.
2013-02-20 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-09-12 16:25]
.
2013-02-20 c:\windows\Tasks\MpIdleTask.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-09-12 16:25]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://www.microsoft.com
mWindow Title = Microsoft Internet Explorer
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Download aller Links mit IDM - c:\programme\Internet Download Manager\IEGetAll.htm
IE: Download FLV-Videoinhalt mit IDM - c:\programme\Internet Download Manager\IEGetVL.htm
IE: Download mit IDM - c:\programme\Internet Download Manager\IEExt.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\HP\Anwendungsdaten\Mozilla\Firefox\Profiles\vn024bks.default\
FF - user.js: extensions.searchya.hmpg - false
FF - user.js: extensions.searchya.hmpgUrl - hxxp://www.searchya.com/?s=0&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965
FF - user.js: extensions.searchya.dfltSrch - false
FF - user.js: extensions.searchya.srchPrvdr - Search
FF - user.js: extensions.searchya.dnsErr - true
FF - user.js: extensions.searchya_i.newTab - false
FF - user.js: extensions.searchya.newTabUrl - hxxp://www.searchya.com/?s=2&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965
FF - user.js: extensions.searchya.tlbrSrchUrl - hxxp://www.searchya.com/?s=3&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965&q=
FF - user.js: extensions.searchya.id - 00904BF982CF8C1E
FF - user.js: extensions.searchya.instlDay - 15615
FF - user.js: extensions.searchya.vrsn - 1.5.25.0
FF - user.js: extensions.searchya.vrsni - 1.5.25.0
FF - user.js: extensions.searchya_i.vrsnTs - 1.5.25.08:42
FF - user.js: extensions.searchya.prtnrId - searchya
FF - user.js: extensions.searchya.prdct - searchya
FF - user.js: extensions.searchya.aflt - foxtab
FF - user.js: extensions.searchya_i.smplGrp - none
FF - user.js: extensions.searchya.tlbrId - base
FF - user.js: extensions.searchya.instlRef - tc-100
FF - user.js: extensions.searchya.dfltLng - 
FF - user.js: extensions.searchya.excTlbr - false
FF - user.js: extensions.searchya.autoRvrt - false
FF - user.js: extensions.searchya.envrmnt - production
FF - user.js: extensions.searchya.isdcmntcmplt - true
FF - user.js: extensions.searchya.mntrvrsn - 1.3.0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-uTorrent - c:\programme\uTorrent\uTorrent.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-02-20 02:54
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{07ad8e46-a14b-4584-924c-94512206649e}]
@Denied: (Full) (Everyone)
"Model"=dword:0000001d
"Therad"=dword:00000028
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
   38,95,44,88,79,0d,22,8e,33,17,75,bd,21,a1,6d,58,c6,ea,df,29,ed,2c,3b,1c,36,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):ce,fa,b1,16,70,8f,85,3f,f4,e7,b2,a7,a0,fc,15,ae,79,9a,be,ff,3b,
   f7,65,c7,cc,75,87,b5,80,30,bf,8a,e7,28,97,c9,bf,c7,2c,c5,00,00,00,00,00,00,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3492)
c:\progra~1\GEMEIN~1\MICROS~1\OFFICE14\Cultures\office.odf
c:\progra~1\MICROS~2\Office14\1031\GrooveIntlResource.dll
c:\programme\Internet Download Manager\IDMShellExt.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2013-02-20  02:56:32
ComboFix-quarantined-files.txt  2013-02-20 01:56
ComboFix2.txt  2012-11-30 02:52
.
Vor Suchlauf: 14 Verzeichnis(se), 15.730.479.104 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 15.806.296.064 Bytes frei
.
- - End Of File - - 9670707A103D118A7CE0A28199659B8B
         

2. Log-Datei

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-02-18.02 - HP 20.02.2013   3:13.3.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.403 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\HP\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-01-20 bis 2013-02-20  ))))))))))))))))))))))))))))))
.
.
2013-02-20 01:17 . 2013-02-20 01:18	--------	d-----w-	c:\dokumente und einstellungen\HP\Anwendungsdaten\IDM
2013-02-20 01:17 . 2013-02-20 01:17	--------	d-----w-	c:\programme\Internet Download Manager
2013-02-16 20:44 . 2013-01-08 04:57	6991832	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ADAEB0B6-267E-4B7E-B3C4-9F3E0B735748}\mpengine.dll
2013-02-15 01:19 . 2013-01-08 04:57	6991832	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-02-12 18:58 . 2013-02-12 18:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zbshareware Lab
2013-02-12 18:57 . 2013-02-12 18:57	--------	d-----w-	c:\programme\USB Disk Security
2013-02-12 18:55 . 2013-02-12 18:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2013-02-07 01:31 . 2013-02-07 01:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\IDM
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-16 21:27 . 2012-08-31 10:54	697712	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-16 21:27 . 2012-08-31 10:54	74096	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-16 21:26 . 2013-01-08 19:58	15739760	----a-w-	c:\windows\system32\FlashPlayerInstaller.exe
2013-01-30 10:53 . 2012-11-02 14:07	232336	------w-	c:\windows\system32\MpSigStub.exe
2013-01-26 03:55 . 2008-04-14 12:00	552448	----a-w-	c:\windows\system32\oleaut32.dll
2013-01-20 14:59 . 2012-08-30 21:03	195296	----a-w-	c:\windows\system32\drivers\MpFilter.sys
2013-01-07 07:24 . 2008-04-14 12:00	2195328	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-01-07 07:24 . 2008-04-14 07:30	2072064	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-01-04 10:09 . 2008-04-14 12:00	1867392	----a-w-	c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2008-04-14 12:00	148992	----a-w-	c:\windows\system32\mpg2splt.ax
2013-01-02 06:49 . 2008-04-14 12:00	1297920	----a-w-	c:\windows\system32\quartz.dll
2012-12-26 20:06 . 2008-04-14 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2012-12-26 20:06 . 2008-04-14 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2012-12-26 20:06 . 2008-04-14 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-12-24 06:40 . 2008-04-14 12:00	385024	------w-	c:\windows\system32\html.iec
2012-12-16 12:23 . 2008-04-14 12:00	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-12-14 15:49 . 2012-10-24 07:48	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-09-06 01:26 . 2012-09-28 06:42	266720	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IDM Shell Extension]
@="{CDC95B92-E27C-4745-A8C5-64A52A78855D}"
[HKEY_CLASSES_ROOT\CLSID\{CDC95B92-E27C-4745-A8C5-64A52A78855D}]
2010-09-29 20:53	72336	----a-w-	c:\programme\Internet Download Manager\IDMShellExt.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2013-01-27 947152]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2010-12-20 519584]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Launcher.lnk
backup=c:\windows\pss\Launcher.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2012-01-05 15:42	75624	----a-w-	c:\programme\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
2005-12-10 14:57	133016	----a-w-	c:\programme\DAEMON Tools\daemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
2012-10-23 08:25	3108480	----a-w-	c:\programme\DAEMON Tools Pro\DTAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-07-28 23:08	1259376	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2012-07-13 11:33	17418928	----a-r-	c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2012-06-20 16:13	74752	----a-w-	c:\programme\Winamp\winampa.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Programme\\Winamp\\winamp.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=
"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\RosettaStoneVersion3.exe"=
"c:\\Programme\\Java\\jre7\\bin\\javaw.exe"=
"c:\\Programme\\SRWare Iron\\iron.exe"=
"c:\\Dokumente und Einstellungen\\HP\\Eigene Dateien\\Games\\Age Of Empires 2\\age2_x1\\age2_x1_1.0c.exe"=
"c:\\Dokumente und Einstellungen\\HP\\Eigene Dateien\\Games\\Age Of Empires 2\\age2_x1\\age2_x1_1.0.exe"=
"c:\\Programme\\Counter-Strike\\cstrike.exe"=
"c:\\Programme\\Counter-Strike\\hlds.exe"=
"c:\\Programme\\Counter-Strike\\hl.exe"=
.
R0 sptd;sptd;\SystemRoot\\SystemRoot\System32\Drivers\sptd.sys --> \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys [?]
R1 IDMTDI;IDMTDI;c:\windows\system32\drivers\idmtdi.sys [29.09.2010 19:56 78328]
R2 WTGService;WTGService;c:\programme\Orangenet\WTGService.exe [18.09.2012 17:21 312784]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [31.08.2012 12:00 88192]
S2 AxAutoMntSrv;Alcohol Virtual Drive Auto-mount Service;c:\programme\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [05.01.2012 16:42 75624]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [13.07.2012 12:28 160944]
S3 ZTEusbMB;ZTE NMEAExt2 Port;c:\windows\system32\drivers\ZTEusbnmeaext2.sys [18.09.2012 17:21 105088]
S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [18.09.2012 17:21 114688]
S3 ZTEusbnmeaext;ZTE NMEAExt Port;c:\windows\system32\drivers\ZTEusbnmeaext.sys [18.09.2012 17:21 105088]
S3 ZTEWMSD_637;ZTE WCDMA 637 Dummy MSD Device;c:\windows\system32\drivers\ZTEWMSD_637.sys [18.09.2012 17:21 15360]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - IDMTDI
*NewlyCreated* - MPFILTER
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-31 21:27]
.
2013-02-20 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2013-01-27 10:11]
.
2013-02-20 c:\windows\Tasks\MpIdleTask.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2013-01-27 10:11]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://www.microsoft.com
mWindow Title = Microsoft Internet Explorer
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Download aller Links mit IDM - c:\programme\Internet Download Manager\IEGetAll.htm
IE: Download FLV-Videoinhalt mit IDM - c:\programme\Internet Download Manager\IEGetVL.htm
IE: Download mit IDM - c:\programme\Internet Download Manager\IEExt.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\HP\Anwendungsdaten\Mozilla\Firefox\Profiles\vn024bks.default\
FF - user.js: extensions.searchya.hmpg - false
FF - user.js: extensions.searchya.hmpgUrl - hxxp://www.searchya.com/?s=0&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965
FF - user.js: extensions.searchya.dfltSrch - false
FF - user.js: extensions.searchya.srchPrvdr - Search
FF - user.js: extensions.searchya.dnsErr - true
FF - user.js: extensions.searchya_i.newTab - false
FF - user.js: extensions.searchya.newTabUrl - hxxp://www.searchya.com/?s=2&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965
FF - user.js: extensions.searchya.tlbrSrchUrl - hxxp://www.searchya.com/?s=3&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965&q=
FF - user.js: extensions.searchya.id - 00904BF982CF8C1E
FF - user.js: extensions.searchya.instlDay - 15615
FF - user.js: extensions.searchya.vrsn - 1.5.25.0
FF - user.js: extensions.searchya.vrsni - 1.5.25.0
FF - user.js: extensions.searchya_i.vrsnTs - 1.5.25.08:42
FF - user.js: extensions.searchya.prtnrId - searchya
FF - user.js: extensions.searchya.prdct - searchya
FF - user.js: extensions.searchya.aflt - foxtab
FF - user.js: extensions.searchya_i.smplGrp - none
FF - user.js: extensions.searchya.tlbrId - base
FF - user.js: extensions.searchya.instlRef - tc-100
FF - user.js: extensions.searchya.dfltLng - 
FF - user.js: extensions.searchya.excTlbr - false
FF - user.js: extensions.searchya.autoRvrt - false
FF - user.js: extensions.searchya.envrmnt - production
FF - user.js: extensions.searchya.isdcmntcmplt - true
FF - user.js: extensions.searchya.mntrvrsn - 1.3.0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-02-20 03:22
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{07ad8e46-a14b-4584-924c-94512206649e}]
@Denied: (Full) (Everyone)
"Model"=dword:0000001d
"Therad"=dword:00000028
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
   38,95,44,88,79,0d,22,8e,33,17,75,bd,21,a1,6d,58,c6,ea,df,29,ed,2c,3b,1c,36,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):ce,fa,b1,16,70,8f,85,3f,f4,e7,b2,a7,a0,fc,15,ae,79,9a,be,ff,3b,
   f7,65,c7,cc,75,87,b5,80,30,bf,8a,e7,28,97,c9,bf,c7,2c,c5,00,00,00,00,00,00,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(600)
c:\windows\system32\igfxdev.dll
.
- - - - - - - > 'explorer.exe'(3448)
c:\progra~1\GEMEIN~1\MICROS~1\OFFICE14\Cultures\office.odf
c:\progra~1\MICROS~2\Office14\1031\GrooveIntlResource.dll
c:\programme\Internet Download Manager\IDMShellExt.dll
c:\windows\system32\mshtml.dll
c:\windows\system32\msls31.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2013-02-20  03:24:21
ComboFix-quarantined-files.txt  2013-02-20 02:24
ComboFix2.txt  2013-02-20 01:56
ComboFix3.txt  2012-11-30 02:52
.
Vor Suchlauf: 15 Verzeichnis(se), 15.772.712.960 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 15.762.518.016 Bytes frei
.
- - End Of File - - 9B041984FFBCD12109925A8BC33A63E6
         

Du hast da noch einiges an Werbung ...

Das sollten wir noch suchen.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Adware entfernen mit JRT

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.

Bitte lade Junkware Removal Tool auf Deinen Desktop.

• Starte das Tool mit Doppelklick. Vista und 7 Nutzer bitte mit Rechtsklick "als Administrator ausführen" starten.
• Das Tool wird sich öffnen und mit dem Scan beginnen.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 2:

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  :filefind
  *searchya*
  :folderfind
  searchya*
  :regfind
  searchya
           

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

JRT

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 4.6.5 (02.18.2013:1)
OS: Microsoft Windows XP x86
Ran by HP on 20.02.2013 at 17:23:53,40
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\{0633ee93-d776-472f-a0ff-e1416b8b2e3a}\\DisplayName
Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\{0633ee93-d776-472f-a0ff-e1416b8b2e3a}\\URL



~~~ Registry Keys

Successfully deleted: [Registry Key] hkey_local_machine\software\systweak
Successfully deleted: [Registry Key] hkey_classes_root\clsid\{0055c089-8582-441b-a0bf-17b458c2a3a8}
Successfully deleted: [Registry Key] hkey_classes_root\clsid\{cc59e0f9-7e43-44fa-9faa-8377850bf205}
Successfully deleted: [Registry Key] hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{cc59e0f9-7e43-44fa-9faa-8377850bf205}



~~~ Files



~~~ Folders



~~~ FireFox

Successfully deleted: [File] C:\Dokumente und Einstellungen\HP\Anwendungsdaten\mozilla\firefox\profiles\vn024bks.default\user.js
Successfully deleted: [Folder] C:\Dokumente und Einstellungen\HP\Anwendungsdaten\mozilla\firefox\profiles\vn024bks.default\smartbar
Successfully deleted the following from C:\Dokumente und Einstellungen\HP\Anwendungsdaten\mozilla\firefox\profiles\vn024bks.default\prefs.js

user_pref("CT2851647.1000234.TWC_TMP_city", "SANTO DOMINGO");
user_pref("CT2851647.1000234.TWC_TMP_country", "DO");
user_pref("CT2851647.1000234.TWC_locId", "BLXX0421");
user_pref("CT2851647.1000234.TWC_location", "Santo Domingo, ");
user_pref("CT2851647.1000234.TWC_region", "OT");
user_pref("CT2851647.1000234.TWC_temp_dis", "c");
user_pref("CT2851647.1000234.TWC_wind_dis", "kmh");
user_pref("CT2851647.1000234.weatherData", "{\"icon\":\"28.png\",\"temperature\":\"28°C\",\"temperatureClear\":\"28°C\",\"highTemperature\":\"28°C\",\"lowTemperature\":\"22
user_pref("CT2851647.ENABALE_HISTORY", "{\"dataType\":\"string\",\"data\":\"true\"}");
user_pref("CT2851647.ENABLE_RETURN_WEB_SEARCH_ON_THE_PAGE", "{\"dataType\":\"string\",\"data\":\"true\"}");
user_pref("CT2851647.FirstTime", "true");
user_pref("CT2851647.FirstTimeFF3", "true");
user_pref("CT2851647.UserID", "UN46284989551461386");
user_pref("CT2851647.addressBarTakeOverEnabledInHidden", "true");
user_pref("CT2851647.autoDisableScopes", -1);
user_pref("CT2851647.cbfirsttime", "Mon Nov 19 2012 18:50:31 GMT+0100");
user_pref("CT2851647.defaultSearch", "FALSE");
user_pref("CT2851647.embeddedsData", "[{\"appId\":\"129351532245275780\",\"apiPermissions\":{\"crossDomainAjax\":true,\"getMainFrameTitle\":true,\"getMainFrameUrl\":true,\"get
user_pref("CT2851647.enableAlerts", "always");
user_pref("CT2851647.enableSearchFromAddressBar", "FALSE");
user_pref("CT2851647.firstTimeDialogOpened", "true");
user_pref("CT2851647.fixPageNotFoundError", "true");
user_pref("CT2851647.fixPageNotFoundErrorInHidden", "true");
user_pref("CT2851647.fixUrls", true);
user_pref("CT2851647.installId", "fft9B.tmp.exe");
user_pref("CT2851647.installType", "XPE");
user_pref("CT2851647.isEnableAllDialogs", "{\"dataType\":\"string\",\"data\":\"true\"}");
user_pref("CT2851647.isNewTabEnabled", true);
user_pref("CT2851647.isPerformedSmartBarTransition", "true");
user_pref("CT2851647.isToolbarShrinked", "{\"dataType\":\"string\",\"data\":\"false\"}");
user_pref("CT2851647.isWelcomPage", "{\"dataType\":\"boolean\",\"data\":\"true\"}");
user_pref("CT2851647.navigationAliasesJson", "{\"EB_SEARCH_TERM\":\"\",\"EB_MAIN_FRAME_URL\":\"hxxps%3A%2F%2Fwww.facebook.com%2Findex.php%3Fstype%3Dlo%26lh%3DAc_vesJI5P-x3_Ce\
user_pref("CT2851647.openThankYouPage", "true");
user_pref("CT2851647.openUninstallPage", "FALSE");
user_pref("CT2851647.scriptSource", "hxxp://127.0.0.1:10000/gui/");
user_pref("CT2851647.search.searchAppId", "129351532245275780");
user_pref("CT2851647.search.searchCount", "0");
user_pref("CT2851647.searchInNewTabEnabledInHidden", "true");
user_pref("CT2851647.selectToSearchBoxEnabled", "{\"dataType\":\"string\",\"data\":\"true\"}");
user_pref("CT2851647.serviceLayer_service_login_isFirstLoginInvoked", "{\"dataType\":\"boolean\",\"data\":\"true\"}");
user_pref("CT2851647.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"2\"}");
user_pref("CT2851647.serviceLayer_service_toolbarGrouping_activeCTID", "{\"dataType\":\"string\",\"data\":\"CT2851647\"}");
user_pref("CT2851647.serviceLayer_service_toolbarGrouping_activeDownloadUrl", "{\"dataType\":\"string\",\"data\":\"hxxp://uTorrentBarDE.OurToolbar.com//xpi\"}");
user_pref("CT2851647.serviceLayer_service_toolbarGrouping_activeToolbarName", "{\"dataType\":\"string\",\"data\":\"uTorrentBar_DE\"}");
user_pref("CT2851647.serviceLayer_service_toolbarGrouping_invoked", "{\"dataType\":\"string\",\"data\":\"true\"}");
user_pref("CT2851647.serviceLayer_services_appTrackingFirstTime_lastUpdate", "1353347417945");
user_pref("CT2851647.serviceLayer_services_appTracking_lastUpdate", "1353347427770");
user_pref("CT2851647.serviceLayer_services_appsMetadata_lastUpdate", "1353347418007");
user_pref("CT2851647.serviceLayer_services_gottenAppsContextMenu_lastUpdate", "1353347423202");
user_pref("CT2851647.serviceLayer_services_login_10.10.27.6_lastUpdate", "1353347424726");
user_pref("CT2851647.serviceLayer_services_otherAppsContextMenu_lastUpdate", "1353347423263");
user_pref("CT2851647.serviceLayer_services_searchAPI_lastUpdate", "1353347416032");
user_pref("CT2851647.serviceLayer_services_serviceMap_lastUpdate", "1353347415134");
user_pref("CT2851647.serviceLayer_services_toolbarContextMenu_lastUpdate", "1353347423076");
user_pref("CT2851647.serviceLayer_services_toolbarSettings_lastUpdate", "1353347415950");
user_pref("CT2851647.serviceLayer_services_translation_lastUpdate", "1353347417221");
user_pref("CT2851647.settingsINI", true);
user_pref("CT2851647.shouldFirstTimeDialog", "false");
user_pref("CT2851647.smartbar.CTID", "CT2851647");
user_pref("CT2851647.smartbar.Uninstall", "0");
user_pref("CT2851647.smartbar.toolbarName", "uTorrentBar_DE ");
user_pref("CT2851647.toolbarBornServerTime", "20-11-2012");
user_pref("CT2851647.toolbarCurrentServerTime", "20-11-2012");
user_pref("extensions.searchya.aflt", "foxtab");
user_pref("extensions.searchya.autoRvrt", false);
user_pref("extensions.searchya.cntry", "DO");
user_pref("extensions.searchya.dfltLng", "");
user_pref("extensions.searchya.dfltSrch", false);
user_pref("extensions.searchya.dnsErr", true);
user_pref("extensions.searchya.envrmnt", "production");
user_pref("extensions.searchya.excTlbr", false);
user_pref("extensions.searchya.hdrMd5", "6251C4D06BF5049A83EC2E772986244F");
user_pref("extensions.searchya.hmpg", false);
user_pref("extensions.searchya.hmpgUrl", "hxxp://www.searchya.com/?s=0&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtF
user_pref("extensions.searchya.id", "00904BF982CF8C1E");
user_pref("extensions.searchya.instlDay", "15615");
user_pref("extensions.searchya.instlRef", "tc-100");
user_pref("extensions.searchya.isdcmntcmplt", true);
user_pref("extensions.searchya.lastVrsnTs", "1.5.25.08:42:24");
user_pref("extensions.searchya.mntrvrsn", "1.3.0");
user_pref("extensions.searchya.newTab", false);
user_pref("extensions.searchya.newTabUrl", "hxxp://www.searchya.com/?s=2&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtB
user_pref("extensions.searchya.prdct", "searchya");
user_pref("extensions.searchya.prtnrId", "searchya");
user_pref("extensions.searchya.sg", "none");
user_pref("extensions.searchya.smplGrp", "none");
user_pref("extensions.searchya.srchPrvdr", "Search");
user_pref("extensions.searchya.tlbrId", "base");
user_pref("extensions.searchya.tlbrSrchUrl", "hxxp://www.searchya.com/?s=3&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtF
user_pref("extensions.searchya.vrsn", "1.5.25.0");
user_pref("extensions.searchya.vrsnTs", "1.5.25.08:42:24");
user_pref("extensions.searchya.vrsni", "1.5.25.0");
user_pref("extensions.searchya_i.newTab", false);
user_pref("extensions.searchya_i.smplGrp", "none");
user_pref("extensions.searchya_i.vrsnTs", "1.5.25.08:42:24");





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 20.02.2013 at 17:29:35,04
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         

SystemLook

Code: Alles auswählenAufklappen

ATTFilter

SystemLook 30.07.11 by jpshortstuff
Log created at 17:33 on 20/02/2013 by HP
Administrator - Elevation successful

========== filefind ==========

Searching for "*searchya*"
No files found.

========== folderfind ==========

Searching for "searchya*"
No folders found.

========== regfind ==========

Searching for "searchya"
[HKEY_CURRENT_USER\Software\searchya.com]
[HKEY_CURRENT_USER\Software\searchya.com\searchya]
[HKEY_CURRENT_USER\Software\searchya.com\searchya\ffxstrg]
"newtaburl"="hxxp://www.searchya.com/?s=2&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965"
[HKEY_CURRENT_USER\Software\searchya.com\searchya\ffxstrg]
"prdct"="searchya"
[HKEY_CURRENT_USER\Software\searchya.com\searchya\ffxstrg]
"prtnrid"="searchya"
[HKEY_CURRENT_USER\Software\searchya.com\searchya\ffxstrg]
"tlbrsrchurl"="hxxp://www.searchya.com/?s=3&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965&q="
[HKEY_USERS\S-1-5-21-606747145-1580436667-1417001333-1003\Software\searchya.com]
[HKEY_USERS\S-1-5-21-606747145-1580436667-1417001333-1003\Software\searchya.com\searchya]
[HKEY_USERS\S-1-5-21-606747145-1580436667-1417001333-1003\Software\searchya.com\searchya\ffxstrg]
"newtaburl"="hxxp://www.searchya.com/?s=2&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965"
[HKEY_USERS\S-1-5-21-606747145-1580436667-1417001333-1003\Software\searchya.com\searchya\ffxstrg]
"prdct"="searchya"
[HKEY_USERS\S-1-5-21-606747145-1580436667-1417001333-1003\Software\searchya.com\searchya\ffxstrg]
"prtnrid"="searchya"
[HKEY_USERS\S-1-5-21-606747145-1580436667-1417001333-1003\Software\searchya.com\searchya\ffxstrg]
"tlbrsrchurl"="hxxp://www.searchya.com/?s=3&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965&q="

-= EOF =-
         

So gleich ist es geschafft

Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Registry::
  [-HKEY_CURRENT_USER\Software\searchya.com]
  [-HKEY_USERS\S-1-5-21-606747145-1580436667-1417001333-1003\Software\searchya.com]
  
  SkipFix::
           

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags) ein.

Zitat:

Hinweis:
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-02-20.01 - HP 21.02.2013   0:17.4.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.628 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\HP\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\HP\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-01-20 bis 2013-02-20  ))))))))))))))))))))))))))))))
.
.
2013-02-20 18:51 . 2013-02-08 00:45	6954968	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{335AB02B-4EC5-49DF-AA9D-32C03E405390}\mpengine.dll
2013-02-20 16:36 . 2013-01-08 04:57	6991832	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-02-20 16:23 . 2013-02-20 16:23	--------	d-----w-	c:\windows\ERUNT
2013-02-20 16:23 . 2013-02-20 16:23	--------	d-----w-	C:\JRT
2013-02-20 15:41 . 2013-02-20 19:14	--------	d-----w-	c:\dokumente und einstellungen\HP\Anwendungsdaten\Free Download Manager
2013-02-20 15:41 . 2013-02-20 15:41	--------	d-----w-	c:\programme\Free Download Manager
2013-02-20 01:17 . 2013-02-20 01:18	--------	d-----w-	c:\dokumente und einstellungen\HP\Anwendungsdaten\IDM
2013-02-12 18:58 . 2013-02-12 18:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zbshareware Lab
2013-02-12 18:57 . 2013-02-12 18:57	--------	d-----w-	c:\programme\USB Disk Security
2013-02-12 18:55 . 2013-02-12 18:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2013-02-07 01:31 . 2013-02-07 01:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\IDM
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-16 21:27 . 2012-08-31 10:54	697712	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-16 21:27 . 2012-08-31 10:54	74096	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-16 21:26 . 2013-01-08 19:58	15739760	----a-w-	c:\windows\system32\FlashPlayerInstaller.exe
2013-01-30 10:53 . 2012-11-02 14:07	232336	------w-	c:\windows\system32\MpSigStub.exe
2013-01-26 03:55 . 2008-04-14 12:00	552448	----a-w-	c:\windows\system32\oleaut32.dll
2013-01-20 14:59 . 2012-08-30 21:03	195296	----a-w-	c:\windows\system32\drivers\MpFilter.sys
2013-01-07 07:24 . 2008-04-14 12:00	2195328	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-01-07 07:24 . 2008-04-14 07:30	2072064	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-01-04 10:09 . 2008-04-14 12:00	1867392	----a-w-	c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2008-04-14 12:00	148992	----a-w-	c:\windows\system32\mpg2splt.ax
2013-01-02 06:49 . 2008-04-14 12:00	1297920	----a-w-	c:\windows\system32\quartz.dll
2012-12-26 20:06 . 2008-04-14 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2012-12-26 20:06 . 2008-04-14 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2012-12-26 20:06 . 2008-04-14 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-12-24 06:40 . 2008-04-14 12:00	385024	------w-	c:\windows\system32\html.iec
2012-12-16 12:23 . 2008-04-14 12:00	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-12-14 15:49 . 2012-10-24 07:48	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-09-06 01:26 . 2012-09-28 06:42	266720	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2013-01-27 947152]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2010-12-20 519584]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Launcher.lnk
backup=c:\windows\pss\Launcher.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2012-01-05 15:42	75624	----a-w-	c:\programme\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
2005-12-10 14:57	133016	----a-w-	c:\programme\DAEMON Tools\daemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
2012-10-23 08:25	3108480	----a-w-	c:\programme\DAEMON Tools Pro\DTAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-07-28 23:08	1259376	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2012-07-13 11:33	17418928	----a-r-	c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2012-06-20 16:13	74752	----a-w-	c:\programme\Winamp\winampa.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Programme\\Winamp\\winamp.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=
"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\RosettaStoneVersion3.exe"=
"c:\\Programme\\Java\\jre7\\bin\\javaw.exe"=
"c:\\Programme\\SRWare Iron\\iron.exe"=
"c:\\Dokumente und Einstellungen\\HP\\Eigene Dateien\\Games\\Age Of Empires 2\\age2_x1\\age2_x1_1.0c.exe"=
"c:\\Dokumente und Einstellungen\\HP\\Eigene Dateien\\Games\\Age Of Empires 2\\age2_x1\\age2_x1_1.0.exe"=
"c:\\Programme\\Counter-Strike\\cstrike.exe"=
"c:\\Programme\\Counter-Strike\\hlds.exe"=
"c:\\Programme\\Counter-Strike\\hl.exe"=
.
R0 sptd;sptd;\SystemRoot\\SystemRoot\System32\Drivers\sptd.sys --> \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys [?]
R2 WTGService;WTGService;c:\programme\Orangenet\WTGService.exe [18.09.2012 17:21 312784]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [31.08.2012 12:00 88192]
S2 AxAutoMntSrv;Alcohol Virtual Drive Auto-mount Service;c:\programme\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [05.01.2012 16:42 75624]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [13.07.2012 12:28 160944]
S3 ZTEusbMB;ZTE NMEAExt2 Port;c:\windows\system32\drivers\ZTEusbnmeaext2.sys [18.09.2012 17:21 105088]
S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [18.09.2012 17:21 114688]
S3 ZTEusbnmeaext;ZTE NMEAExt Port;c:\windows\system32\drivers\ZTEusbnmeaext.sys [18.09.2012 17:21 105088]
S3 ZTEWMSD_637;ZTE WCDMA 637 Dummy MSD Device;c:\windows\system32\drivers\ZTEWMSD_637.sys [18.09.2012 17:21 15360]
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-31 21:27]
.
2013-02-20 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2013-01-27 10:11]
.
2013-02-20 c:\windows\Tasks\MpIdleTask.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2013-01-27 10:11]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://www.microsoft.com
mWindow Title = Microsoft Internet Explorer
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\HP\Anwendungsdaten\Mozilla\Firefox\Profiles\vn024bks.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-02-21 00:20
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{07ad8e46-a14b-4584-924c-94512206649e}]
@Denied: (Full) (Everyone)
"Model"=dword:0000001d
"Therad"=dword:00000028
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
   38,95,44,88,79,0d,22,8e,33,17,75,bd,21,a1,6d,58,c6,ea,df,29,ed,2c,3b,1c,36,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):ce,fa,b1,16,70,8f,85,3f,f4,e7,b2,a7,a0,fc,15,ae,79,9a,be,ff,3b,
   f7,65,c7,cc,75,87,b5,80,30,bf,8a,e7,28,97,c9,bf,c7,2c,c5,00,00,00,00,00,00,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1712)
c:\progra~1\GEMEIN~1\MICROS~1\OFFICE14\Cultures\office.odf
c:\progra~1\MICROS~2\Office14\1031\GrooveIntlResource.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2013-02-21  00:21:45
ComboFix-quarantined-files.txt  2013-02-20 23:21
ComboFix2.txt  2013-02-20 02:24
ComboFix3.txt  2013-02-20 01:56
ComboFix4.txt  2012-11-30 02:52
.
Vor Suchlauf: 15 Verzeichnis(se), 15.559.614.464 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 15.546.888.192 Bytes frei
.
- - End Of File - - CDCED4A848B0EF602582172DC08EA953
         

Gut!

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2:
ESET Online Scanner

Wichtig:
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten!
Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Bitte hier klicken --->
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.
• drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange (einige Stunden) dauern!

Wenn der Scan beendet wurde

• Klicke und dann
• Speichere das Logfile als ESET.txt auf dem Desktop.
• Klicke Back und Finish

Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck: LINK1 LINK2

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.