Polizei-Virus Win XP

elie · 08.03.2013, 15:36

Hallo!

Mein Onkel hat mir gestern seinen (ziemlich alten) PC vorbeigebracht, da er sich den Polizei-Virus eingefangen hat. Er konnte über den abgesicherten Modus mit Eingabeaufforderung ein paar Programme laufen lassen (u.a. Malwarebytes), die auch alle etwas gefunden und entfernt haben, was aber dem Virus nichts anhaben konnte.
Er hat mich nun um Hilfe gebeten und ich hab ihm dieses Forum vorgeschlagen. Dann hat er mich gleich dafür eingespannt

Darum bitte ich euch nun um Hilfe bei der Lösung dieses Problems.

Nun folgen Logs von OTL und Gmer:
1) OTL.txt
2) Extras.txt
3) gmer-Log

1) OTL.txt

OTL logfile created on: 07.03.2013 12:02:42 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\All Users\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy

767,48 Mb Total Physical Memory | 666,13 Mb Available Physical Memory | 86,79% Memory free
1,08 Gb Paging File | 1,05 Gb Available in Paging File | 96,40% Paging File free
Paging file location(s): C:\pagefile.sys 384 768 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,27 Gb Total Space | 0,35 Gb Free Space | 0,94% Space Free | Partition Type: NTFS
Drive D: | 3,75 Gb Total Space | 3,75 Gb Free Space | 99,82% Space Free | Partition Type: FAT32

Computer Name: BRANDSTAETT | User Name: Administrator | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2013.03.07 11:31:22 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\All Users\Desktop\OTL.exe
PRC - [2008.04.14 03:22:38 | 000,401,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\cmd.exe

========== Modules (No Company Name) ==========

========== Services (SafeList) ==========

SRV - File not found [Auto | Stopped] -- C:\DOKUME~1\FAMILI~1.BRA\8335924.dll -- (winmgmt)
SRV - [2013.01.30 18:01:56 | 003,089,320 | ---- | M] (Emsisoft GmbH) [Auto | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2service.exe -- (a2AntiMalware)
SRV - [2012.12.15 18:57:32 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.12.15 18:57:16 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.07.20 04:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2009.03.31 09:39:36 | 000,233,472 | ---- | M] (Teruten) [Auto | Stopped] -- C:\WINDOWS\system32\FsUsbExService.Exe -- (FsUsbExService)
SRV - [2008.04.07 09:17:30 | 000,430,592 | ---- | M] (Nokia.) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)

========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
DRV - [2013.03.06 02:18:04 | 000,030,616 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hitmanpro37.sys -- (hitmanpro37)
DRV - [2012.12.15 18:57:36 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.12.15 18:57:36 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.11.26 15:23:07 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012.08.27 14:50:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2012.04.30 17:45:28 | 000,054,072 | ---- | M] (Emsisoft GmbH) [File_System | On_Demand | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2accx86.sys -- (a2acc)
DRV - [2011.08.17 09:56:32 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2011.08.17 09:56:30 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2011.08.17 09:56:26 | 000,023,168 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2011.08.17 09:56:22 | 000,018,176 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2011.05.19 13:10:34 | 000,017,904 | ---- | M] (Emsi Software GmbH) [Kernel | System | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2ddax86.sys -- (A2DDA)
DRV - [2009.03.31 09:39:36 | 000,036,608 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\FsUsbExDisk.Sys -- (FsUsbExDisk)
DRV - [2009.03.20 10:01:26 | 000,121,856 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ss_bmdm.sys -- (ss_bmdm)
DRV - [2009.03.20 10:01:26 | 000,090,112 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ss_bbus.sys -- (ss_bbus)
DRV - [2009.03.20 10:01:26 | 000,014,976 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ss_bmdfl.sys -- (ss_bmdfl)
DRV - [2007.09.17 15:53:26 | 000,021,632 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2004.08.04 00:38:58 | 000,701,952 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7

IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\.DEFAULT\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\S-1-5-18\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-21-1645522239-1500820517-682003330-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://at.msn.com/?rd=1&ucc=AT&dcc=AT&opt=0&ocid=iehp
IE - HKU\S-1-5-21-1645522239-1500820517-682003330-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = DA F9 B3 70 CD 19 CE 01 [binary data]
IE - HKU\S-1-5-21-1645522239-1500820517-682003330-500\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\S-1-5-21-1645522239-1500820517-682003330-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

[2012.03.05 15:01:41 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

Hosts file not found
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Programme\Yontoo\YontooIEClient.dll (Yontoo LLC)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Emsisoft Anti-Malware] c:\programme\emsisoft anti-malware\a2guard.exe (Emsisoft GmbH)
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-21-1645522239-1500820517-682003330-500..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe (Nero AG)
O4 - HKU\S-1-5-21-1645522239-1500820517-682003330-500..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1645522239-1500820517-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Reg Error: Key error.)
O16 - DPF: {2EDF75C0-5ABD-49f9-BAB6-220476A32034} hxxp://intel-drv-cdn.systemrequirementslab.com/multi/bin/sysreqlab_srlx.cab (System Requirements Lab Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O31 - SafeBoot: UseAlternatShell - 1
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.04.07 20:17:38 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

========== Files/Folders - Created Within 30 Days ==========

[2013.03.06 20:05:53 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2013.03.06 02:17:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\HitmanPro
[2013.03.05 20:43:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Emsisoft Anti-Malware
[2013.03.05 20:38:54 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Eigene Dateien
[2013.03.05 20:38:54 | 000,000,000 | ---D | C] -- C:\Programme\Emsisoft Anti-Malware
[2013.03.05 20:38:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Eigene Dateien\Anti-Malware
[2013.03.05 20:36:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Recent
[2013.03.05 20:34:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\CCleaner
[2013.03.05 20:34:51 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2013.03.05 19:13:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\CSC
[2013.03.05 16:25:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Anwendungsdaten\Malwarebytes
[2013.03.05 16:25:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.03.05 16:25:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
[2013.03.05 16:25:13 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013.03.05 16:25:13 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2013.03.05 16:19:08 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\PrivacIE
[2013.03.05 16:18:56 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\IETldCache
[2013.03.05 16:18:32 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2013.03.05 16:18:32 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Anwendungsdaten\Microsoft
[2013.03.05 16:18:32 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\SendTo
[2013.03.05 16:18:32 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Anwendungsdaten
[2013.03.05 16:18:32 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Cookies
[2013.03.05 16:18:32 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Netzwerkumgebung
[2013.03.05 16:18:32 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Lokale Einstellungen
[2013.03.05 16:18:32 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Druckumgebung
[2013.03.05 16:18:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Lokale Einstellungen\Anwendungsdaten\Microsoft Help
[2013.03.05 16:18:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Anwendungsdaten\Macromedia
[2013.03.05 16:18:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Favoriten
[2013.03.05 16:18:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Desktop
[2013.03.05 16:18:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Lokale Einstellungen\Anwendungsdaten\Adobe
[2013.03.05 16:18:31 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Startmenü\Programme\Zubehör
[2013.03.05 16:18:31 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Startmenü
[2013.03.05 16:18:31 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Startmenü\Programme\Autostart
[2013.03.05 16:18:31 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Vorlagen
[2013.03.01 13:01:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\Sun
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\Programme\*.tmp files -> C:\Programme\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2013.03.07 12:01:38 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.03.07 12:00:40 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.03.07 11:58:12 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\defogger_reenable
[2013.03.06 18:54:55 | 000,000,236 | ---- | M] () -- C:\WINDOWS\tasks\OGALogon.job
[2013.03.06 12:21:36 | 001,477,987 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\4295338.pad
[2013.03.06 02:18:04 | 000,030,616 | ---- | M] () -- C:\WINDOWS\System32\drivers\hitmanpro37.sys
[2013.03.05 20:43:45 | 000,000,738 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Emsisoft Anti-Malware.lnk
[2013.03.05 20:34:54 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\CCleaner.lnk
[2013.03.05 15:38:12 | 000,188,200 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\Programme\*.tmp files -> C:\Programme\*.tmp -> ]

========== Files Created - No Company Name ==========

[2013.03.07 11:58:12 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\defogger_reenable
[2013.03.06 02:18:04 | 000,030,616 | ---- | C] () -- C:\WINDOWS\System32\drivers\hitmanpro37.sys
[2013.03.05 20:43:45 | 000,000,738 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Emsisoft Anti-Malware.lnk
[2013.03.05 20:34:54 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\CCleaner.lnk
[2013.03.05 16:18:33 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Startmenü\Programme\Remoteunterstützung.lnk
[2013.03.05 16:18:33 | 000,000,768 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Startmenü\Programme\Windows Media Player.lnk
[2013.03.01 13:01:43 | 001,477,987 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\4295338.pad
[2012.05.12 12:17:11 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.04.06 11:27:18 | 000,000,116 | ---- | C] () -- C:\WINDOWS\ALBUM.INI
[2012.02.16 12:20:08 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.12.03 09:50:49 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini
[2011.11.07 17:37:34 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDevice.Dll
[2011.11.07 17:37:34 | 000,036,608 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDisk.Sys
[2011.04.16 08:28:35 | 000,000,213 | ---- | C] () -- C:\WINDOWS\mfont.dat
[2011.04.16 08:28:35 | 000,000,035 | ---- | C] () -- C:\WINDOWS\A5W.INI

========== ZeroAccess Check ==========

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

========== LOP Check ==========

[2012.01.20 13:32:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\boost_interprocess
[2013.03.06 02:17:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\HitmanPro
[2011.11.07 18:09:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\PC Suite
[2012.01.25 17:40:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Tarma Installer
[2012.01.20 13:34:44 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\{B49A644A-1076-4A3D-B124-DAA7862F2318}
[2011.04.10 10:30:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christina\Anwendungsdaten\EPSON
[2011.11.07 18:09:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christina\Anwendungsdaten\PC Suite
[2011.11.07 17:37:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christina\Anwendungsdaten\Samsung
[2012.06.06 19:38:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christina\Anwendungsdaten\searchquband
[2012.06.06 19:39:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christina\Anwendungsdaten\searchqutoolbar
[2012.06.06 19:38:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Christina\Anwendungsdaten\Softonic
[2010.03.08 16:01:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Familie Hofer\Anwendungsdaten\EPSON
[2011.05.17 19:20:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Familie Hofer.BRANDSTAETT\Anwendungsdaten\EPSON
[2012.01.22 09:58:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Familie Hofer.BRANDSTAETT\Anwendungsdaten\searchquband
[2012.03.30 12:30:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\.minecraft
[2012.06.08 09:05:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Babylon
[2012.04.20 16:12:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\EPSON
[2012.07.24 12:59:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\searchquband
[2012.07.24 12:59:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\searchqutoolbar
[2012.07.24 12:59:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Softonic
[2012.09.14 20:13:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Unity

========== Purity Check ==========

========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========
[C:\WINDOWS\$NtUninstallKB5297$] -> Error: Cannot create file handle -> Unknown point type

< End of report >

2) Extras.txt

OTL Extras logfile created on: 07.03.2013 12:02:42 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\All Users\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy

767,48 Mb Total Physical Memory | 666,13 Mb Available Physical Memory | 86,79% Memory free
1,08 Gb Paging File | 1,05 Gb Available in Paging File | 96,40% Paging File free
Paging file location(s): C:\pagefile.sys 384 768 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,27 Gb Total Space | 0,35 Gb Free Space | 0,94% Space Free | Partition Type: NTFS
Drive D: | 3,75 Gb Total Space | 3,75 Gb Free Space | 99,82% Space Free | Partition Type: FAT32

Computer Name: BRANDSTAETT | User Name: Administrator | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet

isabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet

isabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\SAMSUNG\Samsung New PC Studio\npsasvr.exe" = C:\Programme\SAMSUNG\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server -- (PeeringPortal)
"C:\Programme\SAMSUNG\Samsung New PC Studio\npsvsvr.exe" = C:\Programme\SAMSUNG\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server -- (PeeringPortal)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0819E89D-6214-4B6F-A18D-4633CB4E0E4A}" = Softwareupdate für Webordner
"{11107A2A-AD44-4BC8-ABB5-E88E63BCA785}" = Intel(R) Network Connections 14.8.43.0
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java(TM) 6 Update 30
"{281233AB-A9A3-2FC0-20AB-D0C972875FFA}" = MORE! 2 Grammar Practice
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{46C045BF-2B3F-4BC4-8E4C-00E0CF8BD9DB}" = Adobe AIR
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{55D65D27-C0CD-4375-9021-F3D3D024ED90}_is1" = Minecraft PC Gamer Demo version 1.5
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{63B75E16-F290-4FCD-AF67-A9134CD01031}" = Nero 7 Essentials
"{6C11D561-620B-47DA-A693-4C597F3CDF40}" = EPSON Smart Panel
"{6C5D7191-140A-11D6-B5A0-0050DA208A93}" = ArcSoft PhotoImpression
"{7E84FAC8-C518-40F9-9807-7455301D6D25}" = SamsungConnectivityCableDriver
"{889DF117-14D1-44EE-9F31-C5FB5D47F68B}" = Yontoo 1.10.02
"{8D15E1B2-D2B7-4A17-B44B-D2DDE5981406}" = iLivid
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A3EABC0-CA06-11D4-BF77-00104B130C19}" = EPSON TWAIN 5
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A65795B2-95C9-475B-AF57-4DB9321FEBF8}" = Lesefit VS
"{AC599724-5755-48C1-ABE7-ABB857652930}" = PC Connectivity Solution
"{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.1 - Deutsch
"{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"{B2544A03-10D0-4E5E-BA69-0362FFC20D18}" = OGA Notifier 2.0.0048.0
"{BC4AE628-81A4-4FC6-863A-7A9BA2E2531F}" = Nokia Connectivity Cable Driver
"{E1180142-3B31-4DCC-9D27-7AC2D37662BF}" = LightScribe 1.4.124.1
"{EBAE381B-60A6-4863-AA9F-FCAB755BC9E5}" = ScanToWeb
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"3A5DEFA413DDE699DBA6EBE0A63534ACA524D30F" = Windows-Treiberpaket - Nokia pccsmcfd (10/12/2007 6.85.4.0)
"6194C28A8F62DD817EA1B918E6E46E806A21B452" = Windows-Treiberpaket - MobileTop (sshpmdm) Modem (02/23/2007 2.5.0.0)
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-Treiberpaket - MobileTop (sshpusb) USB (02/23/2007 2.5.0.0)
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Avira AntiVir Desktop" = Avira Free Antivirus
"BlockCAD3.19_is1" = BlockCAD 3.19
"DirectX" = DirectX End-User Runtime
"ENTERPRISE" = Microsoft Office Enterprise 2007
"EPSON Photo Print" = EPSON Photo Print
"EPSON Printer and Utilities" = EPSON Printer Software
"ie8" = Windows Internet Explorer 8
"iLivid" = iLivid
"InstallShield_{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"InstallShield_{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"Intelli-studio" = SAMSUNG Intelli-studio
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"MoreGrammarPractice2" = MORE! 2 Grammar Practice
"MSXML3SP7" = Microsoft XML Parser 3 SP7
"Mystery Club Detective Academy" = Mystery Club Detective Academy
"Q936181" = Sicherheitsupdate für MSXML 4.0 SP2 - KB936181
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set
"Samsung Mobile Modem Device" = Samsung Mobile Modem Device Software
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"SAMSUNG USB Mobile Device" = SAMSUNG USB Mobile Device Software
"Schiffsim" = Schiffsim 2006
"SystemRequirementsLab" = System Requirements Lab
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMP11" = Windows Media Player 11 Slipstream
"WUV30" = Windows Update Agent 3.0

========== Last 20 Event Log Errors ==========

[ Application Events ]
Error - 05.03.2013 21:23:12 | Computer Name = BRANDSTAETT | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.

Error - 05.03.2013 21:23:13 | Computer Name = BRANDSTAETT | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.

Error - 05.03.2013 21:23:13 | Computer Name = BRANDSTAETT | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.

Error - 05.03.2013 21:23:15 | Computer Name = BRANDSTAETT | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.

Error - 05.03.2013 21:23:15 | Computer Name = BRANDSTAETT | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.

Error - 05.03.2013 21:23:15 | Computer Name = BRANDSTAETT | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.

Error - 05.03.2013 21:23:19 | Computer Name = BRANDSTAETT | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.

Error - 05.03.2013 21:23:19 | Computer Name = BRANDSTAETT | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.

Error - 05.03.2013 21:23:21 | Computer Name = BRANDSTAETT | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.

Error - 06.03.2013 13:56:50 | Computer Name = BRANDSTAETT | Source = Avira Antivirus | ID = 4122
Description = Die Datei AvShadow konnte nicht geladen werden. Fehlercode: 0x3e5

[ OSession Events ]
Error - 17.06.2010 12:45:47 | Computer Name = BRANDSTAETT | Source = Microsoft Office 12 Sessions | ID = 7001
Description =

Error - 17.06.2010 12:46:03 | Computer Name = BRANDSTAETT | Source = Microsoft Office 12 Sessions | ID = 7001
Description =

Error - 17.06.2010 12:47:09 | Computer Name = BRANDSTAETT | Source = Microsoft Office 12 Sessions | ID = 7001
Description =

[ System Events ]
Error - 06.03.2013 13:58:31 | Computer Name = BRANDSTAETT | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error - 06.03.2013 13:59:01 | Computer Name = BRANDSTAETT | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error - 06.03.2013 13:59:31 | Computer Name = BRANDSTAETT | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error - 07.03.2013 06:48:51 | Computer Name = BRANDSTAETT | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 07.03.2013 06:49:05 | Computer Name = BRANDSTAETT | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error - 07.03.2013 06:49:40 | Computer Name = BRANDSTAETT | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error - 07.03.2013 06:59:09 | Computer Name = BRANDSTAETT | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 07.03.2013 07:01:24 | Computer Name = BRANDSTAETT | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 07.03.2013 07:01:38 | Computer Name = BRANDSTAETT | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error - 07.03.2013 07:02:12 | Computer Name = BRANDSTAETT | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

< End of report >

3) Gmer-Log

GMER 2.1.19155 - hxxp://www.gmer.net
Rootkit scan 2013-03-08 14:53:38
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 MAXTOR_6L040L2 rev.A93.0500 37,28GB
Running: gmer_2.1.19155.exe; Driver: C:\DOKUME~1\ADMINI~1.BRA\LOKALE~1\Temp\pwldypog.sys

---- Devices - GMER 2.1 ----

Device \FileSystem\Cdfs \Cdfs F6D99400

---- EOF - GMER 2.1 ----

Liebe Grüße
elie

ryder · 08.03.2013, 16:05

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
Nur Scanns durchführen zu denen Du aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Gelesen und verstanden?

Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Zeige mit bitte die anderen Logfiles. Insbesondere Hitman und Emsisoft

Schritt 2:
Fix mit OTL

Warnung: Dieses Skript wurde nur für diesen User und diese spezielle Situation geschrieben. Auf anderen Computern ausgeführt kann es nachhaltige Schäden anrichten!
Hinweis: Wenn du deinen Benutzernamen unkenntlich gemacht hast, musst du wieder deinen richtigen Namen einsetzen, ansonsten wird das Skript nicht funktionieren.
Starte bitte die OTL.exe.

Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
:OTL
[2013.03.01 13:01:43 | 001,477,987 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\4295338.pad

:files
C:\DOKUME~1\FAMILI~1.BRA\8335924.dll
:commands
[Emptytemp]
         
Schliesse bitte nun alle Programme.

Klicke nun bitte auf den Fix Button.

OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.

Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)

Kopiere nun den Inhalt hier in deinen Thread, möglichst in Code-Tags.

Hinweis: Die Ausführung des Kommandos kann einige Minuten dauern und OTL scheint in dieser Zeit nicht zu reagieren. Bitte geduldig sein!

Schritt 3:
Deinstallation von Programmen

Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren

Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren

ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, FireJump, SearchAnonymizer,

Schritt 4:
Entferne jetzt auch Emsisoft und Hitman (brauchen wir nicht mehr)

Schritt 5:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.

Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:

"Tracing" Schlüssel löschen
Winsock Einstellungen zurücksetzen
Proxy Einstellungen zurücksetzen
Internet Explorer Richtlinien zurücksetzen
Chrome Richtlinien zurücksetzen

Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind

Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 6:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

elie · 08.03.2013, 19:50

Hallo!

Wow, danke für die schnelle Antwort! Mit dem habe ich gar nicht gerechnet!
Habe die Regeln gelesen und verstanden.

Bevor ich beginne, hätte ich zu den Schritten bitte noch ein paar Fragen:

Zu Schritt 1 (Logfiles): Werden bei diesen Programmen die Logfiles automatisch irgendwo abgespeichert? Bisher habe ich nicht viel gefunden...
Ich habe unter C:\Programme\Emsisoft Anti-Malware\Logs eine Datei „logs.db3“ gefunden. Soll ich diese anhängen? Ich kann die leider nicht öffnen, darum meine Frage.
Von Hitman finde ich leider gar nichts, nicht einmal einen Ordner unter C:\Programme.

Zu Schritt 3 (Programme deinstallieren): Kann ich nach dem Fix mit OTL den PC wieder normal starten um die Deinstallationen zu machen? Denn jetzt arbeite ich ja im abgesicherten Modus in der Eingabeaufforderung.

lg

ryder · 08.03.2013, 19:56

Dann überspringe die logfiles und ja starte danach normal.

ryder · 10.03.2013, 11:38

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

elie · 10.03.2013, 19:09

Hallo!

Ja, ich brauche bitte schon noch deine Hilfe.

Ich bin noch immer nicht mit den Schritten durch, da es mit ComboFix Schwierigkeiten gibt. Habs am Freitag das erste mal gestartet, nach ca. 4 Stunden Laufzeit (ohne irgendwelche Meldungen) habe ich es abgebrochen. Gestern hatte ich leider keine Zeit, aber heute habe ich es noch einmal probiert. Es wurde eine Fehlermeldung angezeigt: "grep.3XE hat ein Problem festgestellt und muss beendet werden", ComboFix hat aber weitergearbeitet und nach einiger Zeit angezeigt, dass das System mit einem Rootkit-Virus verseucht ist und er hat neugestartet und weitergearbeitet. Danach passierte für fünf Stunden nichts, jetzt hab ich es wieder abgebrochen. Das dürfte doch nicht so lange dauern, oder?

Ach ja: der PC hat nach dem Neustart angezeigt, dass nicht genügend virtueller Speicher zur Verfügung steht und die Auslagerungsdatei vergrößert wird. Liegt hier vielleicht das Problem?

Hier mal die Ergebnisse von den ersten 5 Schritten:

Schritt 1:
Habe in den Eigenen Dateien nun doch noch 3 Logfiles von Emsisoft gefunden:

Code:

ATTFilter

Emsisoft Anti-Malware - Version 7.0
Letztes Update: N/A

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	05.03.2013 20:49:28

C:\WINDOWS\Tasks\Driver Robot.job 	gefunden: Trace.File.DriverRobot (A)
C:\Dokumente und Einstellungen\Christina\Anwendungsdaten\windrvconfig.txt 	gefunden: Trace.File.Agent (A)
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\4295338.js 	gefunden: Trojan.Script.480412 (B)
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setupx.dll 	gefunden: Adware.Win32.Yontoo.AMN (A)
C:\Dokumente und Einstellungen\Christina\Lokale Einstellungen\Temp\68839.exe 	gefunden: Trojan.Generic.KD.398610 (B)
C:\Dokumente und Einstellungen\Christina\Lokale Einstellungen\Temp\7568035.exe 	gefunden: Trojan.Generic.KD.398610 (B)
C:\Dokumente und Einstellungen\Christina\Lokale Einstellungen\Temp\8259062.exe 	gefunden: Trojan.Generic.KD.398610 (B)
C:\Dokumente und Einstellungen\Familie Hofer.BRANDSTAETT\8335924.dll 	gefunden: Trojan-Ransom.Win32.Foregn (A)
C:\Dokumente und Einstellungen\Stefan und Johannes\Lokale Einstellungen\Temp\YontooSetup-Silent.exe 	gefunden: Adware.Win32.Yontoo.AMN (A)
C:\System Volume Information\_restore{AA73E939-2B2F-45A6-84F9-1F462135864A}\RP425\A0141148.sys 	gefunden: Gen:Variant.Sirefef.22 (B)
C:\System Volume Information\_restore{AA73E939-2B2F-45A6-84F9-1F462135864A}\RP437\A0153030.sys 	gefunden: Gen:Variant.Sirefef.22 (B)
C:\System Volume Information\_restore{AA73E939-2B2F-45A6-84F9-1F462135864A}\RP602\A0338514.exe 	gefunden: Trojan.Win32.BrowserCompanion.AMN (A)

Gescannt	427540
Gefunden	12

Scan Ende:	06.03.2013 01:34:51
Scan Zeit:	4:45:23

Code:

ATTFilter

Emsisoft Anti-Malware - Version 7.0
Letztes Update: N/A

Scan Einstellungen:

Scan Methode: Smart Scan
Objekte: Rootkits, Speicher, Traces, C:\WINDOWS\, C:\Programme\

Riskware-Erkennung: Aus
Archiv Scan: Aus
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	06.03.2013 10:50:30

C:\Dokumente und Einstellungen\Familie Hofer.BRANDSTAETT\Startmenü\Programme\Autostart\runctf.lnk 	gefunden: Trace.File.RansomReveton (A)
C:\Dokumente und Einstellungen\Administrator.BRANDSTAETT\Startmenü\Programme\Autostart\runctf.lnk 	gefunden: Trace.File.RansomReveton (A)
C:\WINDOWS\Tasks\Driver Robot.job 	gefunden: Trace.File.DriverRobot (A)
C:\Dokumente und Einstellungen\Christina\Anwendungsdaten\windrvconfig.txt 	gefunden: Trace.File.Agent (A)

Gescannt	348800
Gefunden	4

Scan Ende:	06.03.2013 12:02:17
Scan Zeit:	1:11:47

C:\Dokumente und Einstellungen\Christina\Anwendungsdaten\windrvconfig.txt	Quarantäne Trace.File.Agent (A)

Quarantäne	4

Code:

ATTFilter

Emsisoft Anti-Malware - Version 7.0
Letztes Update: N/A

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	06.03.2013 12:48:28

C:\Dokumente und Einstellungen\Familie Hofer.BRANDSTAETT\Startmenü\Programme\Autostart\runctf.lnk 	gefunden: Trace.File.RansomReveton (A)
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setupx.dll 	gefunden: Adware.Win32.Yontoo.AMN (A)
C:\Dokumente und Einstellungen\Familie Hofer.BRANDSTAETT\8335924.dll 	gefunden: Trojan-Ransom.Win32.Foregn (A)
C:\System Volume Information\_restore{AA73E939-2B2F-45A6-84F9-1F462135864A}\RP602\A0338514.exe 	gefunden: Trojan.Win32.BrowserCompanion.AMN (A)

Gescannt	427911
Gefunden	4

Scan Ende:	06.03.2013 17:06:55
Scan Zeit:	4:18:27

C:\System Volume Information\_restore{AA73E939-2B2F-45A6-84F9-1F462135864A}\RP602\A0338514.exe	Quarantäne Trojan.Win32.BrowserCompanion.AMN (A)
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setupx.dll	Quarantäne Adware.Win32.Yontoo.AMN (A)
C:\Dokumente und Einstellungen\Familie Hofer.BRANDSTAETT\Startmenü\Programme\Autostart\runctf.lnk	Quarantäne Trace.File.RansomReveton (A)

Quarantäne	3

Schritt 2: OTL Fix ausgeführt
Super - System startet wieder normal!

Logdatei:

Code:

ATTFilter

All processes killed
========== OTL ==========
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\4295338.pad moved successfully.
========== FILES ==========
File\Folder C:\DOKUME~1\FAMILI~1.BRA\8335924.dll not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administration
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 197770 bytes
 
User: Administrator.BRANDSTAETT
->Temp folder emptied: 329726 bytes
->Temporary Internet Files folder emptied: 71612 bytes
->Flash cache emptied: 56502 bytes
 
User: All Users
 
User: All Users.WINDOWS
 
User: Christina
->Java cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56502 bytes
 
User: Familie Hofer
->Temp folder emptied: 51927271 bytes
->Temporary Internet Files folder emptied: 150342888 bytes
->Flash cache emptied: 3004865 bytes
 
User: Familie Hofer.BRANDSTAETT
->Temp folder emptied: 109588431 bytes
->Temporary Internet Files folder emptied: 67590024 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 25916715 bytes
->Flash cache emptied: 2949016 bytes
 
User: Gast
->Temp folder emptied: 992245451 bytes
->Temporary Internet Files folder emptied: 5415152 bytes
->Java cache emptied: 37910 bytes
->Google Chrome cache emptied: 165486723 bytes
->Flash cache emptied: 191434 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 34186 bytes
 
User: LocalService.NT-AUTORITÄT
->Temp folder emptied: 67423 bytes
->Temporary Internet Files folder emptied: 2379133 bytes
->Flash cache emptied: 456 bytes
 
User: LocalService.NT-AUTORITÄT.000
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 3507632 bytes
->Flash cache emptied: 615 bytes
 
User: NetworkService.NT-AUTORITÄT.000
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Stefan und Johannes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 144449682 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1.648,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 03082013_200914

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Schritt 3 und 4: deinstalliert (hoffentlich nichts vergessen)

Anmerkung: Auf dem PC sind 3 Benutzerkonten und ein Gast-Konto aktiv. Als ich mich am Gast-Konto angemeldet habe, kam folgende Fehlermeldung:
"Fehler beim Laden von c:\dokume~1\famili~1.bra\8335924.dll
Das angegebene Modul wurde nicht gefunden."
Aber es hat trotzdem alles ohne Probleme funktioniert.

Schritt 5: AdwCleaner ausgeführt

Logdatei:

Code:

ATTFilter

# AdwCleaner v2.114 - Datei am 08/03/2013 um 22:23:17 erstellt
# Aktualisiert am 05/03/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Familie Hofer - BRANDSTAETT
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Familie Hofer.BRANDSTAETT\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\user.js
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\boost_interprocess
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Tarma Installer
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Trymedia
Ordner Gelöscht : C:\Programme\Yontoo

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\DataMngr
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{5018CFD2-804D-4C99-9F81-25EAEA2769DE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9D717F81-9148-4F12-8568-69135F087DB0}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E87806B5-E908-45FD-AF5E-957D83E58E68}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5018CFD2-804D-4C99-9F81-25EAEA2769DE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E87806B5-E908-45FD-AF5E-957D83E58E68}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{7ABBFE1C-E485-44AA-8F36-353751B4124D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{99066096-8989-4612-841F-621A01D54AD7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\niapdbllcanepiiimjjndipklodoedlc
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Schlüssel Gelöscht : HKLM\Software\Tarma Installer
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Google Chrome v [Version kann nicht ermittelt werden]

*************************

AdwCleaner[S1].txt - [4541 octets] - [08/03/2013 22:23:17]

########## EOF - C:\AdwCleaner[S1].txt - [4601 octets] ##########

Ich bitte um weitere Anweisungen

Ist es in Ordnung, wenn ich die Windows- und Avira-Updates mache?

lg elie

ryder · 10.03.2013, 20:32

Du sollst nur machen, was ich sage.

combofix fehlt

elie · 10.03.2013, 20:52

Ja, wie oben beschrieben, mit Combofix gibts Schwierigkeiten. Da gibt es noch kein Log. Soll ich es nochmal starten?

ryder · 10.03.2013, 20:55

Dann probieren wir es erstmal anders:

Scan mit MBAR
Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

elie · 10.03.2013, 23:22

Hat ohne Probleme geklappt.

1. Durchgang:

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.10.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Familie Hofer :: BRANDSTAETT [administrator]

10.03.2013 21:58:17
mbar-log-2013-03-10 (21-58-17).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 28211
Time elapsed: 52 minute(s), 47 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 4
c:\WINDOWS\$NtUninstallKB5297$\3476806538\L (Backdoor.0Access) -> Delete on reboot.
c:\WINDOWS\$NtUninstallKB5297$\3476806538\U (Backdoor.0Access) -> Delete on reboot.
c:\WINDOWS\$NtUninstallKB5297$\2064561105 (Backdoor.0Access) -> Delete on reboot.
c:\WINDOWS\$NtUninstallKB5297$\3476806538 (Backdoor.0Access) -> Delete on reboot.

Files Detected: 1
c:\Dokumente und Einstellungen\Gast\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Delete on reboot.

(end)

2. Durchgang:

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.10.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Familie Hofer :: BRANDSTAETT [administrator]

10.03.2013 23:14:15
mbar-log-2013-03-10 (23-14-15).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 28202
Time elapsed: 1 hour(s), 3 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

lg

ryder · 12.03.2013, 15:15

AHA! Gut. Probiere jetzt bitte ob Combofix durchläuft.

elie · 12.03.2013, 19:11

Sieht wohl eher schlecht aus:
ComboFix läuft jetzt schon seit einer Stunde, aber es ist nichts passiert, außer dass wieder die Meldung mit dem virtuellen Speicher auftauchte.

ryder · 12.03.2013, 19:36

Zitat:

0,35 Gb Free Space

Das ist natürlich auch etwas wenig freier Platz auf c:

Bitte schaffe da mal etwas Raum und probiere es nochmals.

elie · 12.03.2013, 21:11

Es sind jetzt wieder 2,47 GB frei. Leider hat es nichts gebracht, er zeigt immer noch an, dass er zu wenig virtuellen Speicher hat und er die Auslagerungsdatei vergrößert. Soll ich vielleicht die Auslagerungsdatei vor dem Start von Combofix manuell vergrößern?

ryder · 12.03.2013, 22:28

Probiere es mal. Wenn es nicht klappt, machen wir so weiter.

08.03.2013, 19:56	#4
ryder /// TB-Ausbilder	Polizei-Virus Win XP Dann überspringe die logfiles und ja starte danach normal. __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

10.03.2013, 20:32	#7
ryder /// TB-Ausbilder	Polizei-Virus Win XP Du sollst nur machen, was ich sage. combofix fehlt __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

12.03.2013, 15:15	#11
ryder /// TB-Ausbilder	Polizei-Virus Win XP AHA! Gut. Probiere jetzt bitte ob Combofix durchläuft. __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

12.03.2013, 22:28	#15
ryder /// TB-Ausbilder	Polizei-Virus Win XP Probiere es mal. Wenn es nicht klappt, machen wir so weiter. __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

Polizei-Virus Win XP

Plagegeister aller Art und deren Bekämpfung: Polizei-Virus Win XP