TR/Agent13107.52, TR/Matsnu.A.74, Worm/Cridex.B.247 und andere gefunden.

Maybe · 23.03.2013, 19:40

Mein Vater hat gestern eine Spam-Mail bekommen und den Anhang geöffnet.

Daraufhin haben wir den PC mal gescannt, festgestellt, dass die AntiVir Version veraltet war, mit der neuen gescannt und daraufhin einiges an Trojanern gefunden.

Der Scan hat mir u.a. die im Titel genannten angezeigt, mein Vater meinte allerdings, eben - während ich unterwegs war, der Scan aber noch lief - fünf weitere gemeldet.

Ich habe nun mal alles befolgt, weiß nicht ob defogger funktioniert hat, einen Log habe ich aber. Ich poste mal:

Defogger:

Code:

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:00 on 23/03/2013 (Sabine)

Checking for autostart values...
HKCU\~\Run values retrieved.
Unable to open HKLM\~\Run key (5)
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

OTL:

Code:

ATTFilter

OTL logfile created on: 23.03.2013 19:04:13 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Sabine\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1015,11 Mb Total Physical Memory | 412,77 Mb Available Physical Memory | 40,66% Memory free
2,39 Gb Paging File | 1,62 Gb Available in Paging File | 67,99% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 58,04 Gb Free Space | 77,88% Space Free | Partition Type: NTFS
Drive E: | 3,73 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: FAT32
 
Computer Name: WINTER | User Name: Sabine | NOT logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.03.23 19:03:03 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sabine\Desktop\OTL.exe
PRC - [2013.03.19 08:12:28 | 000,345,312 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.11.13 14:08:08 | 003,825,176 | ---- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy 2\SDTray.exe
PRC - [2012.08.13 10:08:08 | 010,376,704 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe
PRC - [2012.08.13 10:08:08 | 010,368,512 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin
PRC - [2012.05.04 14:43:20 | 001,561,768 | ---- | M] (Ask) -- C:\Programme\Ask.com\Updater\Updater.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2005.12.05 12:37:40 | 000,667,718 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe
PRC - [2005.11.28 11:41:50 | 000,602,182 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.12.18 15:28:26 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
MOD - [2012.11.13 14:06:32 | 000,158,624 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\snlFileFormats150.bpl
MOD - [2012.11.13 14:06:30 | 000,108,960 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\snlThirdParty150.bpl
MOD - [2012.11.13 14:06:28 | 000,554,400 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\VirtualTreesDXE150.bpl
MOD - [2012.11.13 14:06:28 | 000,528,288 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\JSDialogPack150.bpl
MOD - [2012.11.13 14:06:28 | 000,416,160 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\DEC150.bpl
MOD - [2012.10.14 17:06:35 | 000,985,088 | ---- | M] () -- C:\Programme\OpenOffice.org 3\program\libxml2.dll
MOD - [2012.02.20 20:29:04 | 000,087,912 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll
MOD - [2012.02.20 20:28:42 | 001,242,472 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll
MOD - [2005.11.28 11:59:16 | 000,876,544 | ---- | M] () -- C:\Programme\Intel\Wireless\Bin\Libeay32.dll
MOD - [2005.11.28 11:59:16 | 000,053,322 | ---- | M] () -- C:\Programme\Intel\Wireless\Bin\IntStngs.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Unknown] -- C:\Programme\Spybot -- (SDWSCService)
SRV - File not found [Auto | Unknown] -- C:\Programme\Spybot -- (SDUpdateService)
SRV - File not found [Auto | Unknown] -- C:\Programme\Spybot -- (SDScannerService)
SRV - [2013.03.15 13:34:12 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Unknown] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2013.03.12 20:42:34 | 000,253,656 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Unknown] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.02.25 15:47:33 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Unknown] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2013.02.25 15:47:19 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Unknown] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.08.11 15:43:06 | 000,055,184 | ---- | M] (Apple Inc.) [Auto | Unknown] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2012.04.25 19:53:38 | 000,202,296 | ---- | M] (Kaspersky Lab ZAO) [Auto | Unknown] -- C:\Programme\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe -- (KSS)
SRV - [2010.09.22 20:51:04 | 000,225,280 | ---- | M] (Bosch Rexroth AG) [On_Demand | Unknown] -- C:\WINDOWS\system32\OPCEnum.exe -- (OpcEnum)
SRV - [2010.04.12 10:46:00 | 000,152,944 | ---- | M] (TOSHIBA CORPORATION) [Auto | Unknown] -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe -- (TOSHIBA Bluetooth Service)
SRV - [2008.04.14 03:22:32 | 000,088,576 | ---- | M] (Microsoft Corporation) [Unknown (-1) | Unknown] -- C:\WINDOWS\system32\wbem\wmiaprpl.dll -- (WmiApRpl)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Unknown] --  -- (PCIDump)
DRV - File not found [Kernel | System | Unknown] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Unknown] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Unknown] --  -- (Changer)
DRV - [2013.03.06 15:13:37 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Unknown] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2013.02.27 12:22:36 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Unknown] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2013.02.27 12:22:36 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Unknown] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.08.27 14:50:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Unknown] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.12.12 00:08:40 | 000,234,800 | ---- | M] (TOSHIBA CORPORATION) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\tosrfbd.sys -- (tosrfbd)
DRV - [2010.12.02 19:29:00 | 000,056,760 | ---- | M] (TOSHIBA CORPORATION) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\tosrfusb.sys -- (Tosrfusb)
DRV - [2010.11.29 11:47:00 | 000,070,448 | ---- | M] (TOSHIBA Corporation) [Kernel | System | Unknown] -- C:\WINDOWS\system32\drivers\tosrfcom.sys -- (Tosrfcom)
DRV - [2010.11.11 10:26:00 | 000,042,672 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\tosrfbnp.sys -- (tosrfbnp)
DRV - [2010.08.30 10:48:00 | 000,080,064 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\Tosrfhid.sys -- (Tosrfhid)
DRV - [2010.06.18 16:44:00 | 000,015,160 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\tosrfec.sys -- (tosrfec)
DRV - [2009.08.10 16:54:00 | 000,059,888 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\TosRfSnd.sys -- (TosRfSnd)
DRV - [2009.07.24 11:31:00 | 000,021,608 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\tosrfnds.sys -- (tosrfnds)
DRV - [2009.06.17 11:59:00 | 000,046,984 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\tosporte.sys -- (tosporte)
DRV - [2009.03.04 10:31:00 | 004,202,496 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\NETw5x32.sys -- (NETw5x32)
DRV - [2008.04.14 03:22:32 | 000,088,576 | ---- | M] (Microsoft Corporation) [Unknown (-1) | Unknown (-1) | Unknown] -- C:\WINDOWS\system32\wbem\wmiaprpl.dll -- (WmiApRpl)
DRV - [2007.09.04 01:14:06 | 000,006,528 | ---- | M] (TOSHIBA Corporation) [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\Thpevm.sys -- (Thpevm)
DRV - [2007.04.27 07:40:00 | 000,090,688 | ---- | M] (SafeNet, Inc.) [Kernel | Auto | Unknown] -- C:\WINDOWS\system32\drivers\sentinel.sys -- (Sentinel)
DRV - [2006.05.10 04:27:00 | 004,273,152 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService)
DRV - [2006.03.04 06:52:16 | 001,124,097 | R--- | M] (Agere Systems) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2005.11.28 12:09:26 | 000,013,568 | ---- | M] (Intel Corporation) [Kernel | Auto | Unknown] -- C:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0035-ABCDEFFEDCBA%7D:6.0.35
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2
FF - prefs.js..keyword.URL: "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=&locale=&apn_uid=7645E30B-8A44-4F80-A0BA-7AE2975B84C0&apn_ptnrs=&apn_sauid=481EF62E-1CD2-4263-BE77-22964617B33F&apn_dtid=OSJ000&&q="
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_35: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.5: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.03.15 13:34:13 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 11.0.1\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2012.10.14 16:23:36 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 11.0.1\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.03.15 13:34:13 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2012.01.31 08:14:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sabine\Anwendungsdaten\Mozilla\Extensions
[2012.10.24 09:30:41 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sabine\Anwendungsdaten\Mozilla\Firefox\Profiles\dqt4mosf.default\extensions
[2013.03.15 13:33:58 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.03.15 13:33:58 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
[2013.03.15 13:33:58 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
[2013.03.15 13:34:13 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.05.12 15:56:00 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.09.02 09:28:01 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.05.12 15:56:00 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.05.12 15:56:00 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.05.12 15:56:00 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.05.12 15:56:00 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2007.07.27 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation)
O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe (Intel Corporation)
O4 - HKLM..\Run: [ITSecMng] C:\Programme\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe (TOSHIBA CORPORATION)
O4 - HKLM..\Run: [SDTray] C:\Programme\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\Sabine\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Sabine\Startmenü\Programme\Autostart\OpenOffice.org 3.4.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1292662982882 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)
O16 - DPF: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9A67B7E7-5E6C-46D6-A99A-F09001B1862A}: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) -  File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.12.17 15:14:48 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.03.23 19:03:02 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sabine\Desktop\OTL.exe
[2013.03.22 17:58:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sabine\Anwendungsdaten\Avira
[2013.03.21 19:54:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira
[2013.03.21 19:53:53 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2013.03.21 19:53:47 | 000,135,136 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2013.03.21 19:53:47 | 000,084,744 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2013.03.21 19:53:47 | 000,037,352 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2013.03.21 19:53:17 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2013.03.21 19:53:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2013.03.20 21:09:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2013.03.20 21:09:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy 2
[2013.03.20 21:08:51 | 000,015,224 | ---- | C] (Safer Networking Limited) -- C:\WINDOWS\System32\sdnclean.exe
[2013.03.20 21:08:33 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy 2
[2013.03.20 18:37:53 | 000,000,000 | ---D | C] -- C:\Programme\Kaspersky Lab
[2013.03.20 18:37:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
[2013.03.20 17:43:08 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2013.03.17 16:47:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sabine\Anwendungsdaten\vlc
[2013.03.15 13:33:57 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.03.23 19:04:00 | 000,000,230 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2013.03.23 19:03:03 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sabine\Desktop\OTL.exe
[2013.03.23 19:00:30 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\defogger_reenable
[2013.03.23 18:59:23 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Defogger.exe
[2013.03.23 18:42:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.03.23 14:58:13 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.03.23 14:54:39 | 000,000,612 | ---- | M] () -- C:\WINDOWS\tasks\Check for updates (Spybot - Search & Destroy).job
[2013.03.23 14:54:08 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.03.23 13:30:01 | 000,001,799 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Avira Free Antivirus Profil Manuelle Auswahl.LNK
[2013.03.23 10:08:27 | 000,014,096 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Eigene Dateien\ummeln.odt
[2013.03.21 22:46:09 | 000,000,172 | ---- | M] () -- C:\WINDOWS\wininit.ini
[2013.03.21 20:45:55 | 000,000,245 | -HS- | M] () -- C:\boot.ini
[2013.03.21 19:54:17 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2013.03.20 21:09:32 | 000,000,608 | ---- | M] () -- C:\WINDOWS\tasks\Refresh immunization (Spybot - Search & Destroy).job
[2013.03.20 21:09:32 | 000,000,438 | ---- | M] () -- C:\WINDOWS\tasks\Scan the system (Spybot - Search & Destroy).job
[2013.03.20 21:09:10 | 000,001,800 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Spybot-S&D Start Center.lnk
[2013.03.20 15:35:16 | 001,206,890 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Leitfaden NRW
[2013.03.20 15:35:16 | 001,206,890 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Leitfaden NRW
[2013.03.15 13:33:47 | 000,012,415 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Eigene Dateien\ASBK Attest 4 Brief Frau Cosaro.odt
[2013.03.14 13:33:22 | 000,015,722 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Praktikumsbericht EW Endfassung.odt
[2013.03.13 08:24:09 | 000,011,479 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Inhaltsverzeichnis Mappe.odt
[2013.03.12 19:57:02 | 000,012,334 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Lebenslauf Lulu.odt
[2013.03.11 16:24:13 | 000,019,579 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Praktikumsbericht Deutsch Endfassung.odt
[2013.03.10 17:25:47 | 000,118,787 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Aufnahmeantrag_12(1).pdf
[2013.03.10 17:19:55 | 000,118,787 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Aufnahmeantrag_12.pdf
[2013.03.08 23:05:37 | 000,113,036 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Für Darius.pdf
[2013.03.06 15:13:37 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2013.03.05 10:20:20 | 000,011,302 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Eigene Dateien\ASBK Atteste 3 Brief Frau Cosaro.odt
[2013.03.03 20:08:33 | 000,011,171 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Eigene Dateien\Einkommensteuer Aufstellung 2011.odt
[2013.02.27 12:22:36 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2013.02.27 12:22:36 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2013.02.25 21:34:15 | 000,010,427 | ---- | M] () -- C:\Dokumente und Einstellungen\Sabine\Eigene Dateien\Rechnung Eigenleistung Concordia.odt
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.03.23 19:00:30 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\defogger_reenable
[2013.03.23 18:59:22 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Defogger.exe
[2013.03.23 13:30:01 | 000,001,799 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Avira Free Antivirus Profil Manuelle Auswahl.LNK
[2013.03.23 10:08:25 | 000,014,096 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\Eigene Dateien\ummeln.odt
[2013.03.21 19:54:17 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2013.03.20 21:50:19 | 000,000,172 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2013.03.20 21:09:31 | 000,000,608 | ---- | C] () -- C:\WINDOWS\tasks\Refresh immunization (Spybot - Search & Destroy).job
[2013.03.20 21:09:31 | 000,000,438 | ---- | C] () -- C:\WINDOWS\tasks\Scan the system (Spybot - Search & Destroy).job
[2013.03.20 21:09:30 | 000,000,612 | ---- | C] () -- C:\WINDOWS\tasks\Check for updates (Spybot - Search & Destroy).job
[2013.03.20 21:09:10 | 000,001,806 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot-S&D Start Center.lnk
[2013.03.20 21:09:10 | 000,001,800 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Spybot-S&D Start Center.lnk
[2013.03.20 15:35:20 | 001,206,890 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Leitfaden NRW
[2013.03.20 15:35:20 | 001,206,890 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Leitfaden NRW
[2013.03.15 13:33:47 | 000,012,415 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\Eigene Dateien\ASBK Attest 4 Brief Frau Cosaro.odt
[2013.03.11 22:29:13 | 000,015,722 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Praktikumsbericht EW Endfassung.odt
[2013.03.11 16:24:12 | 000,019,579 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Praktikumsbericht Deutsch Endfassung.odt
[2013.03.10 17:25:47 | 000,118,787 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Aufnahmeantrag_12(1).pdf
[2013.03.10 17:19:53 | 000,118,787 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Aufnahmeantrag_12.pdf
[2013.03.09 17:18:25 | 000,011,479 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Inhaltsverzeichnis Mappe.odt
[2013.03.08 23:05:37 | 000,113,036 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\Desktop\Für Darius.pdf
[2013.03.05 10:20:20 | 000,011,302 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\Eigene Dateien\ASBK Atteste 3 Brief Frau Cosaro.odt
[2013.03.03 20:08:33 | 000,011,171 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\Eigene Dateien\Einkommensteuer Aufstellung 2011.odt
[2013.02.25 21:34:14 | 000,010,427 | ---- | C] () -- C:\Dokumente und Einstellungen\Sabine\Eigene Dateien\Rechnung Eigenleistung Concordia.odt
[2012.02.15 09:56:19 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
 
========== ZeroAccess Check ==========
 
[2010.12.18 10:59:12 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.10.14 16:42:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\188F1432-103A-4ffb-80F1-36B633C5C9E1
[2012.08.05 11:32:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
[2012.11.18 12:38:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iRinger
[2010.12.20 09:53:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Rexroth
[2010.12.18 14:05:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TOSHIBA
[2010.12.20 10:08:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinStudio
[2012.05.12 15:50:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2012.02.19 16:01:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sabine\Anwendungsdaten\OpenOffice.org
[2012.01.31 08:13:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sabine\Anwendungsdaten\Thunderbird
[2012.01.31 08:12:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sabine\Anwendungsdaten\Windows Desktop Search
[2012.03.20 15:12:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sabine\Anwendungsdaten\Windows Search
 
========== Purity Check ==========
 
 

< End of report >

Extra:

Code:

ATTFilter

OTL Extras logfile created on: 23.03.2013 19:04:13 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Sabine\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1015,11 Mb Total Physical Memory | 412,77 Mb Available Physical Memory | 40,66% Memory free
2,39 Gb Paging File | 1,62 Gb Available in Paging File | 67,99% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 58,04 Gb Free Space | 77,88% Space Free | Partition Type: NTFS
Drive E: | 3,73 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: FAT32
 
Computer Name: WINTER | User Name: Sabine | NOT logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" (VideoLAN)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" (VideoLAN)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"5985:TCP" = 5985:TCP:*:Disabled:Windows-Remoteverwaltung 
"80:TCP" = 80:TCP:*:Disabled:Windows-Remoteverwaltung - Kompatibilitätsmodus (HTTP eingehend) 
"135:TCP" = 135:TCP:*:Enabled:DCOM
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\Programme\Rexroth\IndraWorks\DDP.EngineeringDesktop.exe" = C:\Programme\Rexroth\IndraWorks\DDP.EngineeringDesktop.exe:*:Enabled:INDRAWORKS DDP.ENGINEERINGDESKTOP
"C:\Programme\Rexroth\IndraWorks\DDP.OperationDesktop.exe" = C:\Programme\Rexroth\IndraWorks\DDP.OperationDesktop.exe:*:Enabled:INDRAWORKS DDP.OPERATIONDESKTOP
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPB03vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPB03vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPB03VRS
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPD03vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPD03vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPD03VRS
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPH03vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPH03vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPH03VRS
"C:\WINDOWS\system32\Gateway.exe" = C:\WINDOWS\system32\Gateway.exe:*:Enabled:INDRAWORKS GATEWAY
"C:\Programme\Rexroth\IndraWorks\PDA.Server.exe" = C:\Programme\Rexroth\IndraWorks\PDA.Server.exe:*:Enabled:INDRAWORKS PDA.SERVER
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPB04vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPB04vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPB04VRS
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPD04vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPD04vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPD04VRS
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPH04vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPH04vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPH04VRS
"C:\Programme\Rexroth\IndraWorks\WINSTUDIO\Bin\Studio Manager.exe" = C:\Programme\Rexroth\IndraWorks\WINSTUDIO\Bin\Studio Manager.exe:*:Enabled:INDRAWORKS STUDIO MANAGER
"C:\Programme\Rexroth\IndraWorks\SCPServer.exe" = C:\Programme\Rexroth\IndraWorks\SCPServer.exe:*:Enabled:INDRAWORKS SCPSERVER
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPB05vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPB05vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPB05VRS
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPD05vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPD05vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPD05VRS
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPH05vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPH05vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPH05VRS
"C:\Programme\Rexroth\IndraWorks\Hnc\Offline\DriveServer_HDH05VRS.exe" = C:\Programme\Rexroth\IndraWorks\Hnc\Offline\DriveServer_HDH05VRS.exe:*:Enabled:INDRAWORKS DRIVESERVER_HDH05VRS
"C:\Programme\Rexroth\IndraWorks\MLC\Offline\MotionServer_MLC10VRS.exe" = C:\Programme\Rexroth\IndraWorks\MLC\Offline\MotionServer_MLC10VRS.exe:*:Enabled:INDRAWORKS MOTIONSERVER_MLC10VRS
"C:\Programme\Rexroth\IndraWorks\ILNG.RepTool.exe" = C:\Programme\Rexroth\IndraWorks\ILNG.RepTool.exe:*:Enabled:INDRAWORKS ILNG.REPTOOL
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPB06vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPB06vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPB06VRS
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPC06vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPC06vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPC06VRS
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPD06vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPD06vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPD06VRS
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPH06vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPH06vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPH06VRS
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPB07vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPB07vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPB07VRS
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPC07vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPC07vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPC07VRS
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPD07vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPD07vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPD07VRS
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPH07vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPH07vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPH07VRS
"C:\Programme\Rexroth\IndraWorks\WINSTUDIO\Bin\CEServer.exe" = C:\Programme\Rexroth\IndraWorks\WINSTUDIO\Bin\CEServer.exe:*:Enabled:INDRAWORKS CESERVER
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPB16vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPB16vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPB16VRS
"C:\Programme\Rexroth\IndraWorks\DDP.HostedOperationDesktop.exe" = C:\Programme\Rexroth\IndraWorks\DDP.HostedOperationDesktop.exe:*:Enabled:INDRAWORKS DDP.HOSTEDOPERATIONDESKTOP
"C:\Programme\Rexroth\IndraWorks\IWDS.exe" = C:\Programme\Rexroth\IndraWorks\IWDS.exe:*:Enabled:INDRAWORKS IWDS
"C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPB17vrs.exe" = C:\Programme\Rexroth\IndraWorks\Drive\Offline\DriveServer_MPB17vrs.exe:*:Enabled:INDRAWORKS DRIVESERVER_MPB17VRS
"C:\Programme\Rexroth\VI-Composer\Composer.exe" = C:\Programme\Rexroth\VI-Composer\Composer.exe:*:Enabled:VI-Composer
"C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\Programme\Spybot - Search & Destroy 2\SDTray.exe" = C:\Programme\Spybot - Search & Destroy 2\SDTray.exe:*:Enabled:Spybot-S&D 2 Tray Icon -- (Safer-Networking Ltd.)
"C:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe" = C:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe:*:Enabled:Spybot-S&D 2 Scanner Service -- (Safer-Networking Ltd.)
"C:\Programme\Spybot - Search & Destroy 2\SDUpdate.exe" = C:\Programme\Spybot - Search & Destroy 2\SDUpdate.exe:*:Enabled:Spybot-S&D 2 Updater -- (Safer-Networking Ltd.)
"C:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe" = C:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe:*:Enabled:Spybot-S&D 2 Background update service -- (Safer-Networking Ltd.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}" = mLogView
"{0E64B098-8018-4256-BA23-C316A43AD9B0}" = QuickTime
"{0F6F6876-6334-4977-B5DD-CFC12E193420}" = iTunes
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{223C0721-A6B0-4853-88C0-331029841734}" = HP Color LaserJet CP1510 Series 2.0
"{2303AEEA-0FA8-4AFD-80A9-8F86BA4B44D2}" = OpenOffice.org 3.4.1
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java(TM) 6 Update 35
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3E9D596A-61D4-4239-BD19-2DB984D2A16F}" = mIWA
"{414C803A-6115-4DB6-BD4E-FD81EA6BC71C}" = Product_SF_Min_QFolder
"{56009CA3-423B-41F8-884A-E5B049534F15}" = Kaspersky Security Scan
"{62B74257-2E1B-48FB-843C-0FBA43FE1327}" = Sentinel System Driver Installer 7.4.0
"{63EC2120-1742-4625-AA47-C6A8AEC9C64C}" = Apple Application Support
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{8C6BB412-D3A8-4AAE-A01B-35B681789D68}" = mHelp
"{90B0D222-8C21-4B35-9262-53B042F18AF9}" = mPfWiz
"{94658027-9F16-4509-BBD7-A59FE57C3023}" = mZConfig
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML
"{9DE3F260-B88E-42CE-90E7-73C78C37D95E}" = 32 Bit HP BiDi Channel Components Installer
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A43BF6A5-D5F0-4AAA-BF41-65995063EC44}" = MSXML 6.0 Parser
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1" = Spybot - Search & Destroy
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{D4DDFAA1-EC37-4529-AD5B-A433ADE68662}" = Apple Mobile Device Support
"{E81667C6-2856-46D6-ABEA-6A2F42166779}" = mCore
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F6090A17-0967-4A8A-B3C3-422A1B514D49}" = mDrWiFi
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"ie8" = Windows Internet Explorer 8
"InstallWIX_{56009CA3-423B-41F8-884A-E5B049534F15}" = Kaspersky Security Scan
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 19.0.2 (x86 de)" = Mozilla Firefox 19.0.2 (x86 de)
"Mozilla Thunderbird 11.0.1 (x86 de)" = Mozilla Thunderbird 11.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"ProInst" = Intel(R) PROSet/Wireless Software
"PROSet" = Intel(R) PRO Network Connections Drivers
"Studio PDF_is1" = Studio PDF (novaPDF 6.1  printer)
"TOSHIBA Software Modem" = TOSHIBA Software Modem
"VLC media player" = VLC media player 2.0.5
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{79A765E1-C399-405B-85AF-466F52E918B0}" = Ask Toolbar Updater
 
========== Last 20 Event Log Errors ==========
 
Error: Unable to start EventLog service!
 
< End of report >

bei GMER habe ich beim Starten folgende Meldung bekommen: C:/Windows/system/config/system: Zugriff verweigert

und nach dem Scan-Start: C:/Dokumente und Einstellungen/Sabine/ntuser.dat: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird

(Ich weiß leider nicht, wie man diese Querstriche in die andere Richtung macht, deshalb habe ich den / verwendet...

)

Die Scan Log Datei ist blank, also nichts drin. Habe ich beim An- oder Abhaken einen Fehler gemacht? (Ich habe statt Quick-Scan angekreuzt, dass C: durchsucht werden soll, so hatte ich die Anleitung verstanden)

Ich hoffe, dass mir jemand helfen kann. Meine Mutter macht an dem PC online-banking (jetzt natürlich nicht mehr) und es wäre wichtig, dass der schnell wieder sauber ist.

Ganz liebe Grüße und schon mal ein Danke im Vorraus für den/die Helfer!

ryder · 23.03.2013, 20:26

So Daddy kriegt erstmal eins auf die Finger!

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
Nur Scanns durchführen zu denen Du aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Gelesen und verstanden?

Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstallation von Programmen

Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren

Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren

ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, FireJump, SearchAnonymizer,

Schritt 2:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Maybe · 24.03.2013, 19:03

Habe alles deinstalliert, was mir aufgefallen ist, dieser PC hat nur wenige Sachen installiert, meine Eltern sind ja nicht so Computer-fit.

Und die Log Datei von Combofix:

Code:

ATTFilter

ComboFix 13-03-24.03 - Administrator Domi 24.03.2013  18:47:08.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.482 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator Domi\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Michael\Anwendungsdaten\Ycfi
c:\dokumente und einstellungen\Michael\Anwendungsdaten\Ycfi\arpif.exe
c:\dokumente und einstellungen\Sabine\Desktop\Leitfaden NRW 
c:\dokumente und einstellungen\Sabine\Desktop\Leitfaden NRW
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\regtlib.exe
c:\windows\wininit.ini
.
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\userinit.exe wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-02-24 bis 2013-03-24  ))))))))))))))))))))))))))))))
.
.
2013-03-24 17:36 . 2013-03-24 17:36	--------	d-----w-	c:\dokumente und einstellungen\Administrator Domi\Lokale Einstellungen\Anwendungsdaten\Mozilla
2013-03-22 16:58 . 2013-03-22 16:58	--------	d-----w-	c:\dokumente und einstellungen\Sabine\Anwendungsdaten\Avira
2013-03-21 18:56 . 2013-03-21 18:56	--------	d-----w-	c:\dokumente und einstellungen\Michael\Anwendungsdaten\Avira
2013-03-21 18:55 . 2013-03-21 18:55	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\PrivacIE
2013-03-21 18:55 . 2013-03-21 18:56	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\AskToolbar
2013-03-21 18:55 . 2013-03-21 18:55	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2013-03-21 18:53 . 2013-03-06 14:13	37352	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2013-03-21 18:53 . 2013-02-27 11:22	84744	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2013-03-21 18:53 . 2013-02-27 11:22	135136	----a-w-	c:\windows\system32\drivers\avipbb.sys
2013-03-21 18:53 . 2013-03-21 18:53	--------	d-----w-	c:\programme\Avira
2013-03-21 18:53 . 2013-03-21 18:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2013-03-21 18:26 . 2013-02-12 00:32	12928	-c----w-	c:\windows\system32\dllcache\usb8023x.sys
2013-03-21 18:26 . 2013-02-12 00:32	12928	-c----w-	c:\windows\system32\dllcache\usb8023.sys
2013-03-20 21:15 . 2013-03-24 10:16	--------	d-----w-	c:\dokumente und einstellungen\Michael\Anwendungsdaten\Temiy
2013-03-20 21:15 . 2013-03-20 21:15	--------	d-----w-	c:\dokumente und einstellungen\Michael\Anwendungsdaten\Puzyoz
2013-03-20 20:09 . 2013-03-20 20:50	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2013-03-20 20:08 . 2013-03-24 17:34	--------	d-----w-	c:\programme\Spybot - Search & Destroy 2
2013-03-20 17:00 . 2013-03-20 17:01	--------	d-----w-	c:\dokumente und einstellungen\Michael\Anwendungsdaten\QuickScan
2013-03-20 16:45 . 2013-03-21 21:45	--------	d--h--w-	c:\dokumente und einstellungen\Michael\Anwendungsdaten\C2D1AB0B
2013-03-20 16:43 . 2013-03-23 12:31	--------	d-----w-	c:\windows\system32\NtmsData
2013-03-20 16:34 . 2013-03-23 09:11	--------	d-----w-	c:\dokumente und einstellungen\Michael\Anwendungsdaten\Orvgurvgur
2013-03-17 15:47 . 2013-03-17 15:48	--------	d-----w-	c:\dokumente und einstellungen\Sabine\Anwendungsdaten\vlc
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-12 19:42 . 2012-07-28 10:58	73432	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-03-12 19:42 . 2012-07-28 10:58	693976	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-12 00:32 . 2008-04-13 18:56	12928	------w-	c:\windows\system32\drivers\usb8023x.sys
2013-02-12 00:32 . 2007-07-27 12:00	12928	----a-w-	c:\windows\system32\drivers\usb8023.sys
2013-02-05 19:56 . 2007-07-27 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2013-02-05 19:56 . 2007-07-27 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2013-02-05 19:56 . 2007-07-27 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2013-02-05 05:53 . 2007-07-27 12:00	385024	----a-w-	c:\windows\system32\html.iec
2013-01-26 03:55 . 2007-07-27 12:00	552448	----a-w-	c:\windows\system32\oleaut32.dll
2013-01-07 07:24 . 2007-07-27 12:00	2151424	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-01-07 07:24 . 2004-08-04 00:50	2030080	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-01-04 10:09 . 2007-07-27 12:00	1867392	----a-w-	c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2007-07-27 12:00	148992	----a-w-	c:\windows\system32\mpg2splt.ax
2013-01-02 06:49 . 2007-07-27 12:00	1297920	----a-w-	c:\windows\system32\quartz.dll
2013-03-15 12:34 . 2013-03-15 12:33	263064	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-09 16207360]
"SkyTel"="SkyTel.EXE" [2006-04-25 1448960]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 88204]
"ITSecMng"="c:\programme\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2009-07-22 83336]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2012-04-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-09-09 421776]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2013-03-19 345312]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Michael\Startmenü\Programme\Autostart\
OpenOffice.org 3.4.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2012-8-13 1199104]
.
c:\dokumente und einstellungen\Sabine\Startmenü\Programme\Autostart\
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2012-8-13 1199104]
OpenOffice.org 3.4.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2012-8-13 1199104]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0\0sdnclean.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung 
"135:TCP"= 135:TCP:DCOM
.
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [04.09.2007 01:14 6528]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [21.03.2013 19:53 37352]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.03.2013 19:53 86752]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-24 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-28 19:42]
.
2013-02-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator Domi\Anwendungsdaten\Mozilla\Firefox\Profiles\c6qgvwx9.default\
FF - ExtSQL: 2013-03-15 13:33; {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}; c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Studio PDF_is1 - c:\programme\REXROTH\INDRAWORKS\WINSTUDIO\BIN\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-03-24 18:54
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(136)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\windows\system32\SearchIndexer.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\windows\SkyTel.EXE
c:\windows\AGRSMMSG.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-03-24  18:58:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-03-24 17:58
.
Vor Suchlauf: 9 Verzeichnis(se), 62.604.496.896 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 63.097.171.968 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
[spybotsd]
timeout.old=30
.
- - End Of File - - 1EFD3065AB15BACDB94B3302AC36BF7C

Und noch eine Frage: Dass Formatieren das Beste wäre, weiß ich, nur müssten einige Datein (Bilder, Word-Dokumente, etc.) auf einem USB-Stick gezogen werden und ist es da nicht wahrscheinlich, eine infizierte Datei mit rüberzuziehen? Ggf. könnte man ja sobald der PC sauber ist einmal formatieren? Kenne mich leider mit PCs auch nicht so gut aus, nur habe ich eben gehört, dass man auch Trojaner aus Versehen mit auf den USB Stick nehmen kann.

Danke für die schnelle Hilfe übrigens!!!

ryder · 24.03.2013, 19:13

Nö diese Gefahr ist eher gering, weil Daten nur sehr selten befallen sind.

Also wie entscheidest du dich?

Maybe · 24.03.2013, 19:26

Wenn es möglich ist, die Formatierung selbst durchzuführen und das so, dass ich das hinbekomme, wäre das wohl der bessere Schritt? Ich denke, dass die Bereinigung einige Zeit beanspruchen würde, anhand dessen, was alles schon hier sein Unwesen treibt...

Gibt es hier eine gute Anleitung zur Formatierung?

PS: Gibt es eine sichere Möglichkeit nach einer Formatierung zu checken, ob wirklich alles an Schädlingen nun weg ist?

ryder · 24.03.2013, 21:03

Gibt es:

http://www.trojaner-board.de/51262-a...sicherung.html

ryder · 26.03.2013, 12:50

Schön, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/

24.03.2013, 19:13	#4
ryder /// TB-Ausbilder	TR/Agent13107.52, TR/Matsnu.A.74, Worm/Cridex.B.247 und andere gefunden. Nö diese Gefahr ist eher gering, weil Daten nur sehr selten befallen sind. Also wie entscheidest du dich? __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

24.03.2013, 21:03	#6
ryder /// TB-Ausbilder	TR/Agent13107.52, TR/Matsnu.A.74, Worm/Cridex.B.247 und andere gefunden. Gibt es: http://www.trojaner-board.de/51262-a...sicherung.html __________________ --> TR/Agent13107.52, TR/Matsnu.A.74, Worm/Cridex.B.247 und andere gefunden.

TR/Agent13107.52, TR/Matsnu.A.74, Worm/Cridex.B.247 und andere gefunden.

Plagegeister aller Art und deren Bekämpfung: TR/Agent13107.52, TR/Matsnu.A.74, Worm/Cridex.B.247 und andere gefunden.