WinXP: BKA-Trojaner füllt Bildschirm voll aus, davor sah ich einen Film an. Trojaner: Trojan.Agent

enemenemu+ · 07.04.2013, 14:35

Hallo!

Ich sah mir gerade mit Opera einen Film an und plötzlich erschien ein Trojaner namens Bundespolizei, höchstwahrscheinlich Version 1.02 (h**p://bka-trojaner.de). In diesem (eingeschränkten) Benutzerkonto kann ich nichts mehr tun!

Ich habe mir Eure Anleitungen gelesen, die Daten über einen anderen Rechner und Leitung heruntergeladen.
Im abgesicherten Modus als Admin ausgeführt:

Reihenfolge:
1. mit Malewarebytes AntiMaleware: Virus gelöscht, dh in Quarantäne geschoben.
2. OTL: OTL.txt + Extra
3. GMER
4. defogger

Diese Fragen stellen sich mir dann noch: - Welches AntiVirus-Programm hätte mich sicher vor dem Eintreten dieses Falles bewahrt?
Wie weiter, um den Trojaner endgültig zu entfernen?
- Wie kann ich meinen Rechner noch sicherer machen?
- Wie setze ich einen Wiederherstellungspunkt?
- Wie kann ich mir - nachdem der Rechner von allen Plagegeistern, wie den BKA-Trojaner beseitigt ist, ein Image der aktuellen Einstellungen machen?
---

zu 1: Malewarebytes AntiMaleware:

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2012.12.14.11

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus)
Internet Explorer 8.0.6001.18702
m :: PRIVAT [Administrator]

Schutz: Deaktiviert

07.04.2013 07:21:37
mbam-log-2013-04-07 (07-21-37).txt

Art des Suchlaufs: Flash-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Registrierung | Dateisystem | P2P
Durchsuchte Objekte: 325189
Laufzeit: 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\bbbbb\Anwendungsdaten\skype.dat (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

2: OTL.txt

Code:

ATTFilter

OTL logfile created on: 07.04.2013 07:26:10 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = D:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,24 Gb Total Physical Memory | 2,81 Gb Available Physical Memory | 86,88% Memory free
7,08 Gb Paging File | 6,86 Gb Available in Paging File | 96,87% Paging File free
Paging file location(s): C:\pagefile.sys 4092 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Programme
Drive C: | 30,00 Gb Total Space | 0,58 Gb Free Space | 1,92% Space Free | Partition Type: NTFS
Drive D: | 115,00 Gb Total Space | 90,62 Gb Free Space | 78,80% Space Free | Partition Type: NTFS
Drive S: | 30,00 Gb Total Space | 5,41 Gb Free Space | 18,04% Space Free | Partition Type: NTFS
 
Computer Name: PRIVAT | User Name: m | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.04.05 19:45:48 | 000,602,112 | ---- | M] (OldTimer Tools) -- D:\OTL.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.07.11 23:12:15 | 000,185,880 | ---- | M] () -- D:\Lavasoft_Ad-Aware\Ad-Aware\ShellExt.dll
MOD - [2008.09.16 20:18:06 | 000,132,608 | ---- | M] () -- D:\WinRAR\RarExt.dll
 
 
========== Services (SafeList) ==========
 
SRV - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto | Stopped] -- D:\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto | Stopped] -- D:\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2012.07.11 23:12:03 | 001,355,968 | ---- | M] (Lavasoft) [Auto | Stopped] -- D:\Lavasoft_Ad-Aware\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
SRV - [2012.05.10 23:18:04 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- D:\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.10 23:18:01 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- D:\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.10.24 04:05:22 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) [Auto | Stopped] -- D:\Java\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2009.10.17 22:20:20 | 000,069,632 | ---- | M] (Adobe Systems) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2009.10.17 20:18:13 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2009.08.28 20:42:54 | 000,144,672 | ---- | M] (Apple Inc.) [Auto | Stopped] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2008.02.28 18:07:48 | 000,529,704 | ---- | M] (Nero AG) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2007.09.25 16:16:08 | 000,079,136 | ---- | M] (Hewlett-Packard Company) [Auto | Stopped] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2007.03.20 16:41:24 | 000,153,792 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe -- (Adobe Version Cue CS3)
SRV - [2004.10.15 20:40:56 | 002,577,632 | ---- | M] (Sygate Technologies, Inc.) [Auto | Stopped] -- D:\Sygate\SPF\Smc.exe -- (SmcService)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\FXDrv32.sys -- (FXDrv32)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOKUME~1\LEITST~1\LOKALE~1\Temp\FoxDriver.sys -- (__FOX__FOXONE_DRIVER__)
DRV - [2013.04.07 07:22:29 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\rhbhvu.sys -- (ngypdew)
DRV - [2012.12.14 16:49:28 | 000,021,104 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012.05.10 23:18:04 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.10 23:18:04 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.11 15:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.11.14 20:02:50 | 000,231,248 | ---- | M] (TrueCrypt Foundation) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\truecrypt.sys -- (truecrypt)
DRV - [2010.08.29 23:11:34 | 000,064,288 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\Lbd.sys -- (Lbd)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.06.27 05:24:56 | 004,742,656 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2008.05.07 13:31:16 | 000,106,368 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2006.06.13 05:20:00 | 000,094,460 | ---- | M] (Sonic Solutions) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS -- (DLAUDFAM)
DRV - [2006.06.13 05:20:00 | 000,088,476 | ---- | M] (Sonic Solutions) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS -- (DLAUDF_M)
DRV - [2006.06.13 05:20:00 | 000,086,844 | ---- | M] (Sonic Solutions) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS -- (DLAIFS_M)
DRV - [2006.06.13 05:20:00 | 000,025,724 | ---- | M] (Sonic Solutions) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS -- (DLABOIOM)
DRV - [2006.06.13 05:20:00 | 000,014,716 | ---- | M] (Sonic Solutions) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS -- (DLAOPIOM)
DRV - [2006.06.13 05:20:00 | 000,006,364 | ---- | M] (Sonic Solutions) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS -- (DLAPoolM)
DRV - [2006.06.13 05:20:00 | 000,002,496 | ---- | M] (Sonic Solutions) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\DLA\DLADResN.SYS -- (DLADResN)
DRV - [2006.03.17 08:35:24 | 000,005,660 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM)
DRV - [2006.03.17 08:34:46 | 000,022,684 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS -- (DLARTL_N)
DRV - [2004.10.15 19:32:44 | 000,014,568 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\wg6n.sys -- (wg6n)
DRV - [2004.10.15 19:32:42 | 000,014,568 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\wg5n.sys -- (wg5n)
DRV - [2004.10.15 19:32:40 | 000,014,568 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\wg4n.sys -- (wg4n)
DRV - [2004.10.15 19:32:38 | 000,014,568 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\wg3n.sys -- (wg3n)
DRV - [2004.10.15 18:18:46 | 000,021,075 | ---- | M] (Sygate Technologies, Inc.) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\wpsdrvnt.sys -- (wpsdrvnt)
DRV - [2004.10.15 18:17:02 | 000,060,496 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\Teefer.sys -- (Teefer)
DRV - [2001.08.17 14:51:32 | 000,018,688 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\irsir.sys -- (irsir)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = AE B1 77 34 BE 24 CE 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: D:\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: D:\Java\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: D:\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\jqs@sun.com: D:\Java\lib\deploy\jqs\ff [2011.10.24 04:05:23 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 2.0.0.20\extensions\\Components: D:\Mozilla Firefox\components [2010.09.07 23:28:27 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 2.0.0.20\extensions\\Plugins: D:\Mozilla Firefox\plugins [2013.01.11 20:49:02 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: D:\Mozilla Thunderbird\components [2011.01.26 06:46:47 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: D:\Mozilla Thunderbird\plugins
 
[2013.01.27 20:52:57 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\m\Anwendungsdaten\Mozilla\Firefox\Profiles\cmaj30w8.default\extensions
[2013.01.27 20:52:57 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\m\Anwendungsdaten\Mozilla\Firefox\Profiles\cmaj30w8.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.10.24 04:05:23 | 000,000,000 | ---D | M] (Java Quick Starter) -- D:\JAVA\LIB\DEPLOY\JQS\FF
[2011.10.24 04:05:35 | 000,000,000 | ---D | M] (Java Console) -- D:\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
[2009.06.04 23:29:59 | 000,000,000 | ---D | M] (DOM Inspector) -- D:\MOZILLA FIREFOX\EXTENSIONS\INSPECTOR@MOZILLA.ORG
[2009.06.04 23:29:59 | 000,000,000 | ---D | M] (Talkback) -- D:\MOZILLA FIREFOX\EXTENSIONS\TALKBACK@MOZILLA.ORG
 
O1 HOSTS File: ([2001.08.18 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Download Guard for Internet Explorer) - {20C1A7F0-528E-444F-BAC5-5804A61CCA7F} - D:\Lavasoft_Ad-Aware\Download Guard for Internet Explorer\DownloadGuardBHO.dll (Lavasoft AB                                         )
O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Java\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Java\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acrobat Assistant 7.0] D:\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Adobe_ID0EYTHM] C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3Tray.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\windows\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] D:\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [PDFPrint] D:\PDF24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [SmcService] D:\Sygate\SPF\smc.exe (Sygate Technologies, Inc.)
O4 - HKCU..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe (Nero AG)
O4 - HKCU..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] D:\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\CCleaner.lnk = D:\CCleaner\CCleaner.exe (Piriform Ltd)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\WinHTTrack\WinHTTrackIEBar.dll ()
O9 - Extra 'Tools' menuitem : Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\WinHTTrack\WinHTTrackIEBar.dll ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1354479623281 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {4F07DA45-8170-4859-9B5F-037EF2970034} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.03 20:42:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O34 - HKLM BootExecute: (lsdelete)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.04.07 07:24:03 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\m\Recent
[2013.04.07 06:11:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\m\Anwendungsdaten\Malwarebytes
[2013.04.07 06:11:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.04.07 06:11:44 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbam.sys
[2013.04.05 04:32:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\m\Anwendungsdaten\EurekaLog
[2013.03.27 03:01:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\m\Lokale Einstellungen\Anwendungsdaten\PDF24
[2013.03.27 02:59:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\PDF24
[2010.01.18 04:20:04 | 000,250,544 | ---- | C] (KeyWorks Software) -- C:\Programme\Gemeinsame Dateien\keyhelp.ocx
[4 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]
[1 C:\windows\System32\*.tmp files -> C:\windows\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.04.07 07:22:29 | 000,054,016 | ---- | M] () -- C:\windows\System32\drivers\rhbhvu.sys
[2013.04.07 06:07:48 | 000,002,206 | ---- | M] () -- C:\windows\System32\wpa.dbl
[2013.04.07 06:06:21 | 000,002,048 | --S- | M] () -- C:\windows\bootstat.dat
[2013.04.05 05:42:06 | 000,001,094 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.04.05 05:39:00 | 000,000,428 | -H-- | M] () -- C:\windows\tasks\User_Feed_Synchronization-{2272640E-6ED3-4ECA-8747-1525EA6CB452}.job
[2013.04.05 04:59:13 | 000,001,098 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.04.05 04:27:38 | 000,442,432 | ---- | M] () -- C:\windows\System32\perfh007.dat
[2013.04.05 04:27:38 | 000,426,696 | ---- | M] () -- C:\windows\System32\perfh009.dat
[2013.04.05 04:27:38 | 000,078,302 | ---- | M] () -- C:\windows\System32\perfc007.dat
[2013.04.05 04:27:38 | 000,065,706 | ---- | M] () -- C:\windows\System32\perfc009.dat
[2013.04.03 23:11:12 | 000,000,466 | ---- | M] () -- C:\windows\tasks\Ad-Aware Update (Weekly).job
[4 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]
[1 C:\windows\System32\*.tmp files -> C:\windows\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.04.07 07:22:29 | 000,054,016 | ---- | C] () -- C:\windows\System32\drivers\rhbhvu.sys
[2013.01.27 21:02:51 | 000,000,664 | ---- | C] () -- C:\windows\System32\d3d9caps.dat
[2012.12.02 22:40:06 | 000,003,072 | ---- | C] () -- C:\windows\System32\iacenc.dll
 
========== ZeroAccess Check ==========
 
[2009.06.05 01:07:17 | 000,000,227 | RHS- | M] () -- C:\windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2009.03.03 01:10:15 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 04:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2011.06.17 21:00:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess
[2013.01.12 11:00:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firebird
[2010.11.14 11:46:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF
[2009.07.21 17:52:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
[2009.07.19 12:01:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simple Star Shared
[2013.01.12 09:30:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SuperFlexibleSynchronizer
[2010.08.01 02:51:23 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\System Restore
[2010.01.07 03:56:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2013.04.05 04:32:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\m\Anwendungsdaten\EurekaLog
[2011.03.17 00:07:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\m\Anwendungsdaten\Opera
[2011.04.02 23:17:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\m\Anwendungsdaten\TrueCrypt
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\All Users\Dokumente\index.dat:SummaryInformation

< End of report >

Code:

ATTFilter

OTL Extras logfile created on: 07.04.2013 07:35:41 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = D:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,24 Gb Total Physical Memory | 2,80 Gb Available Physical Memory | 86,31% Memory free
7,08 Gb Paging File | 6,85 Gb Available in Paging File | 96,79% Paging File free
Paging file location(s): C:\pagefile.sys 4092 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Programme
Drive C: | 30,00 Gb Total Space | 0,58 Gb Free Space | 1,92% Space Free | Partition Type: NTFS
Drive D: | 115,00 Gb Total Space | 90,62 Gb Free Space | 78,80% Space Free | Partition Type: NTFS
Drive S: | 30,00 Gb Total Space | 5,41 Gb Free Space | 18,04% Space Free | Partition Type: NTFS
 
Computer Name: PRIVAT | User Name: m | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- D:\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
http [open] -- D:\MOZILL~2\FIREFOX.EXE -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- D:\MOZILL~2\FIREFOX.EXE -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "D:\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "D:\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "D:\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3703:TCP" = 3703:TCP:*:Enabled:Adobe Version Cue CS3 Server
"3704:TCP" = 3704:TCP:*:Enabled:Adobe Version Cue CS3 Server
"50900:TCP" = 50900:TCP:*:Enabled:Adobe Version Cue CS3 Server
"50901:TCP" = 50901:TCP:*:Enabled:Adobe Version Cue CS3 Server
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"D:\Miranda IM_Benutzer\miranda32.exe" = D:\Miranda IM_Benutzer\miranda32.exe:*:Disabled:Miranda IM -- ( )
"C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" = C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe:*:Enabled:Adobe Version Cue CS3 Server -- (Adobe Systems Incorporated)
"C:\Programme\Bonjour\mDNSResponder.exe" = C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour -- (Apple Inc.)
"D:\iTunes\iTunes.exe" = D:\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"D:\Opera\opera.exe" = D:\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0224CACC-994D-45F8-B973-D65056EA9C2F}" = Adobe XMP DVA Panels CS3
"{0327FA9D-975C-448C-A086-577D57BB25B8}" = Adobe Soundbooth CS3 Codecs
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{08B32819-6EEF-4057-AEDA-5AB681A36A23}" = Adobe Bridge Start Meeting
"{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}" = Sonic UDF Reader
"{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}" = Adobe WinSoft Linguistics Plugin
"{193EAFD0-1BAF-4FB4-B18F-79D5D6A4B285}" = Adobe After Effects CS3 Presets
"{1D58229F-C505-45CA-8223-F35F3A34B963}" = Adobe Version Cue CS3 Server
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = DVD Suite
"{24F2E03B-ACF2-42FB-8A2A-5F015ACBDD16}" = FOX ONE
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java(TM) 6 Update 29
"{29E5EA97-5F74-4A57-B8B2-D4F169117183}" = Adobe Stock Photos CS3
"{338F08AB-C262-42C7-B000-34DE1A475273}" = Ad-Aware Email Scanner for Outlook
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = Power2Go 5.0
"{411E0CC3-587A-468C-B461-95FAFD05E4DE}" = Adobe InDesign CS3
"{485ACF57-F364-440A-8496-E1E81C8FA1AA}" = Adobe Premiere Pro CS3 Third Party Content
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4AA5B8A5-BEEF-4AD8-B11D-4443A042EA4F}" = Adobe Dreamweaver CS3
"{50F102CA-4BE2-41A9-9810-5BB05EB91B9A}" = Adobe Premiere Pro CS3 Functional Content
"{54793AA1-5001-42F4-ABB6-C364617C6078}" = Adobe Linguistics CS3
"{54B2EAD9-A110-43F7-B010-2859A1BD2AFE}" = Adobe Encore CS3
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{58DCEEE5-532E-44F4-B1D7-A146EF9E9FDA}" = Adobe Premiere Pro CS3
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{5E11064C-41D6-4451-B45A-E36DFBCB84AC}" = Download Guard for Internet Explorer
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6854A2CA-361F-4DD9-A8D8-C229E5EF4654}" = FOX DMI
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6ABE0BEE-D572-4FE8-B434-9E72A289431B}" = Adobe Fonts All
"{6B708481-748A-4EB4-97C1-CD386244FF77}" = Adobe MotionPicture Color Files
"{6BBAA81D-6A7E-43AD-8889-2F002DCAAFDD}" = AHV content for Acrobat and Flash
"{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}" = Adobe Asset Services CS3
"{73B5D990-04EA-4751-B10F-5534770B91F2}" = Adobe Color EU Recommended Settings
"{7ACFB90E-8FD0-4397-AD3A-5195412623A3}" = Adobe Help Viewer CS3
"{7EC9E7A1-A576-43C8-9CBB-31BD5625EBCA}" = FOX LiveUpdate
"{80CCA55B-FCA8-47E2-9BFE-A24CDEE51031}" = SecurDisc Viewer
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator 5.4.0
"{845A8DB9-8802-4FD3-9FE3-938A6C46A2EC}" = Adobe Video Profiles
"{8C640345-AF96-4ABA-A697-97D2A0B8C6DB}" = Adobe Flash CS3
"{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}" = Adobe Device Central CS3
"{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}" = Adobe Type Support
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90176341-0A8B-4CCC-A78D-F862228A6B95}" = Adobe Anchor Service CS3
"{95140000-00AF-0407-0000-0000000FF1CE}" = Microsoft PowerPoint Viewer
"{97C82B44-D408-4F14-9252-47FC1636D23E}_is1" = IZArc 3.81
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9C9824D9-9000-4373-A6A5-D0E5D4831394}" = Adobe Bridge CS3
"{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}" = Adobe CMaps
"{A2D81E70-2A98-4A08-A628-94388B063C5E}" = Adobe Color - Photoshop Specific
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A6B23EFA-6590-482C-A11F-5ACE1B91F5B9}" = Adobe Soundbooth CS3
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}" = PDF Settings
"{AC76BA86-1033-F400-7760-000000000002}" = Adobe Acrobat 7.0 Professional - English, Français, Deutsch
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{AE667894-44ED-4CF9-98B0-C875150E4A27}" = FOX LOGO
"{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}" = Adobe Camera Raw 4.0
"{B671CBFD-4109-4D35-9252-3062D3CCB7B2}" = Adobe SING CS3
"{B73CFB12-C814-4638-AFFD-7E3AAFAF0B4E}" = Adobe BridgeTalk Plugin CS3
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{B8B7A4D8-80E1-4DAE-BD33-7FD535BA3931}" = Adobe Encore CS3 Codecs
"{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}" = Adobe Default Language CS3
"{BCEDD813-269C-4D8F-A4BA-01FDC66254D3}" = Adobe Flash Video Encoder
"{BE5F3842-8309-4754-92D5-83E02E6077A3}" = Adobe Extension Manager CS3
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}" = Adobe ExtendScript Toolkit 2
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = LabelPrint
"{C5BD220A-EFE8-48A5-B70E-9503D535FACE}" = Adobe WAS CS3
"{C8D7A672-F697-4572-AC62-C856053A8DBC}" = Adobe Illustrator CS3
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{C9D456FD-C25B-49DE-AA71-6B76D6550B23}" = Adobe Fireworks CS3
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0DFF92A-492E-4C40-B862-A74A173C25C5}" = Adobe Version Cue CS3 Client
"{D1A74FBB-CA8D-4CCA-9B89-BAAA436DB178}" = iTunes
"{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}" = Adobe PDF Library Files
"{D36DD326-7280-11D8-97C8-000129760CBE}" = PhotoNow! 1.0
"{D3C605D8-3A5E-4BAD-965D-2C61441BF2AC}" = Adobe Photoshop CS3
"{D5068583-D569-468B-9755-5FBF5848F46F}" = Sony Picture Utility
"{D5A31AB1-345D-47C7-A87B-036A669F6DF1}" = Adobe XMP Panels CS3
"{D5A9B7C0-8751-11D8-9D75-000129760D75}" = MediaShow
"{DA896917-C1DA-45B2-B4D2-68162F16C0DD}" = Adobe Creative Suite 3 Master Collection
"{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}" = Adobe Color Common Settings
"{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}" = Adobe Color JA Extra Settings
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{DFFDDCF5-CB32-4354-8823-1B9E68025953}" = Adobe Setup
"{E64404F1-98DC-4CC8-A1A7-EF36E4E21031}" = Nero 8 Essentials
"{E69AE897-9E0B-485C-8552-7841F48D42D8}" = Adobe Update Manager CS3
"{E6CFBFB5-9232-410C-B353-AF6E614B2681}" = LightScribe System Software  1.10.16.1
"{EA7B3CC4-366D-4CF6-8350-FD7A7034116E}" = Adobe InDesign CS3 Icon Handler
"{EB0202F7-016A-410C-ADE4-40F848CCC661}" = Adobe After Effects CS3
"{EDE721EC-870A-11D8-9D75-000129760D75}" = PowerDirector Express
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F34D9A5F-484A-4E31-A9D3-908CB265B289}" = Sygate Personal Firewall
"{FA0BBB87-91A1-4BFD-9005-EB058BBA0E14}_is1" = StreamTransport version: 1.0.2.2171
"{FA200000-0001-0000-0000-074957833700}" = ABBYY PDF Transformer 2.0
"{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}" = Adobe Color NA Extra Settings
"{FF3E2850-BD2E-4B56-A89D-21E588D518E0}" = Adobe Contribute CS3
"Ad-Aware" = Ad-Aware
"Adobe Acrobat 7.0 Professional - EFG" = Adobe Acrobat 7.1.0 Professional - English, Français, Deutsch
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe_67a7fb1e97aa14ee9ef0950eb6fd757" = Adobe Creative Suite 3 Master Collection hinzufügen oder entfernen
"AVI MPEG Video Converter" = AVI MPEG Video Converter
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"Download Guard for Internet Explorer" = Download Guard for Internet Explorer
"FreePDF_XP" = FreePDF (Remove only)
"GPL Ghostscript 8.64" = GPL Ghostscript 8.64
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ie8" = Windows Internet Explorer 8
"Inkscape" = Inkscape 0.48.0
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (2.0.0.20)" = Mozilla Firefox (2.0.0.20)
"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24)
"Nero PhotoShow Express 5" = Nero PhotoShow Express 5
"Notepad++" = Notepad++
"Opera 11.60.1185" = Opera 11.60
"PDF Compress_is1" = PDF Compress 2.02
"SumatraPDF" = SumatraPDF 2.1.1
"Super Flexible File Synchronizer_is1" = Super Flexible File Synchronizer 5.21a
"TrueCrypt" = TrueCrypt
"VLC media player" = VLC media player 1.0.0
"Winamp" = Winamp (nur entfernen)
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinHTTrack Website Copier_is1" = WinHTTrack Website Copier 3.43-9C
"WinRAR archiver" = WinRAR
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-776561741-2111687655-839522115-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"d734575cd6cff35b" = Stegano.Net
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 26.03.2013 13:17:18 | Computer Name = PRIVAT | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 26.03.2013 13:19:34 | Computer Name = PRIVAT | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 26.03.2013 16:39:11 | Computer Name = PRIVAT | Source = MsiInstaller | ID = 11705
Description = Produkt: Microsoft .NET Framework 2.0 Service Pack 2 -- Error 1705.Im
 Augenblick wird eine weitere Installation dieses Produkts durchgeführt. Sie müssen
 die von dieser Installation vorgenommenen Änderungen rückgängig machen, bevor Sie
 den Vorgang fortsetzen können. Möchten Sie diese Änderungen rückgängig machen?
 
Error - 26.03.2013 20:09:47 | Computer Name = PRIVAT | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung WINWORD.EXE, Version 11.0.5604.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 26.03.2013 22:01:52 | Computer Name = PRIVAT | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung acrobat.exe, Version 7.0.8.218, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x2e002cac.
 
Error - 03.04.2013 21:11:05 | Computer Name = PRIVAT | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 03.04.2013 21:11:13 | Computer Name = PRIVAT | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 03.04.2013 21:11:17 | Computer Name = PRIVAT | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 04.04.2013 21:42:17 | Computer Name = PRIVAT | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul shell32.dll, Version 6.0.2900.6242, Fehleradresse 0x00085a3d.
 
Error - 04.04.2013 21:42:22 | Computer Name = PRIVAT | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
 Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.
 
[ System Events ]
Error - 07.04.2013 00:07:57 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 07.04.2013 00:07:57 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  avipbb  avkmgr  Fips  intelppm  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  ssmdrv  Tcpip  truecrypt
wpsdrvnt
 
Error - 07.04.2013 00:08:04 | Computer Name = PRIVAT | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 07.04.2013 00:08:04 | Computer Name = PRIVAT | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 07.04.2013 00:08:05 | Computer Name = PRIVAT | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 07.04.2013 00:11:51 | Computer Name = PRIVAT | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 07.04.2013 00:28:21 | Computer Name = PRIVAT | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 07.04.2013 00:48:30 | Computer Name = PRIVAT | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 07.04.2013 00:49:59 | Computer Name = PRIVAT | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 07.04.2013 01:14:51 | Computer Name = PRIVAT | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
 
< End of report >

zu 3: GMER

Code:

ATTFilter

GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-04-07 08:30:58
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-6 ST3320613AS rev.CC2F 298,09GB
Running: gmer_2.1.19163.exe; Driver: C:\DOKUME~1\m\LOKALE~1\Temp\uwtdapob.sys


---- System - GMER 2.1 ----

SSDT            Lbd.sys                   ZwCreateKey [0xF764787E]
SSDT            Lbd.sys                   ZwSetValueKey [0xF7647BFE]

---- Devices - GMER 2.1 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys

---- EOF - GMER 2.1 ----

zu 4: defogger

Code:

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 13:32 on 07/04/2013 (m)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

aharonov · 07.04.2013, 15:10

Hallo enemenemu+ und

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.

Hinweise zum Ablauf

Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
- Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
- Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles gesammelt in einer Antwort.
- Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
- Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.

Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert. Deshalb: Bitte
- .. lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
- .. installiere oder deinstalliere während der Bereinigung keine Software.
- .. frag nicht parallel in anderen Foren nach Hilfe (Crossposting).

Ich kann dir keine Garantien geben, dass die Bereinigung schlussendlich erfolgreich sein wird und wir alles finden werden.
- Ein Formatieren und Neuinstallieren ist meist der schnellere und immer der sicherere Weg.
- Sollte ich eine schwerwiegende Infektion bei dir finden, werde ich dich nochmals darauf hinweisen. Es bleibt aber deine Entscheidung.

Los geht's: Alle Tools immer auf den Desktop speichern und von dort starten.

Zitat:

Welches AntiVirus-Programm hätte mich sicher vor dem Eintreten dieses Falles bewahrt?

Das ist die falsche Frage. Kein Antivirenprogramm kann dich wirklich schützen; das musst du selbst tun. Das AVP kann dich dabei nur unterstützen. Mehr dazu später.

Den Rest können wir ebenfalls zum Schluss anschauen.

Du solltest jetzt eigentlich wieder normal starten können. Führe die folgenden Schritte also bitte im normalen Modus aus.

Schritt 1

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

WICHTIG: Speichere Combofix auf deinen Desktop.
Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und akzeptiere die Endbenutzer-Lizenz.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 2

Starte bitte die OTL.exe.

Setze den Haken bei Scan all Users.
Drücke auf den Quick Scan Button.
Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von Combofix
Log von OTL

enemenemu+ · 07.04.2013, 16:33

Hallo ahronov!

Zitat:

Zitat von aharonov

Du solltest jetzt eigentlich wieder normal starten können. Führe die folgenden Schritte also bitte im normalen Modus aus.

a) Im infizierten Benutzerkonto
oder
b) in einem anderen (eingeschränkten) Benutzerkonto?
oder c) ist völlig gleichgültig? (mMn eher nicht!)

aharonov · 07.04.2013, 17:01

In einem Konto mit Administratorenrechten.

enemenemu+ · 07.04.2013, 18:08

Die Aktion wurde mit einem Adminkonto (= ungleich dem eingeschränkten Benutzerkonto, wo der BKA Trojaner auftrat) im normalen Modus ausgeführt

1.: ComboFix
Bei ComboFix trat dieser Fehler auf:
1. Es konnte keine Wiederherstellungskonsole erstellt werden.
2. Boot Partition kann nicht richtig enummeriert werden
siehe

Code:

ATTFilter

ComboFix 13-04-06.02 - m 07.04.2013  18:43:39.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.43.1031.18.3317.2616 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\m\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Sygate Personal Firewall *Enabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
D:\setup.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-03-07 bis 2013-04-07  ))))))))))))))))))))))))))))))
.
.
2013-04-07 16:12 . 2013-04-07 16:12	--------	d-----w-	c:\dokumente und einstellungen\jw\Anwendungsdaten\FireShot
2013-04-07 14:41 . 2013-04-07 16:29	--------	d-----w-	c:\dokumente und einstellungen\jw\Anwendungsdaten\vlc
2013-04-07 07:32 . 2013-04-07 07:32	--------	d-----w-	c:\dokumente und einstellungen\jw\Lokale Einstellungen\Anwendungsdaten\Opera
2013-04-07 06:57 . 2013-04-07 06:57	--------	d-----w-	c:\dokumente und einstellungen\jw\Anwendungsdaten\Malwarebytes
2013-04-07 06:34 . 2013-04-07 06:34	--------	d-----w-	c:\dokumente und einstellungen\jw\Anwendungsdaten\Avira
2013-04-07 06:31 . 2013-04-07 06:31	--------	d-sh--w-	c:\dokumente und einstellungen\jw\PrivacIE
2013-04-07 04:11 . 2013-04-07 04:11	--------	d-----w-	c:\dokumente und einstellungen\m\Anwendungsdaten\Malwarebytes
2013-04-07 04:11 . 2012-12-14 14:49	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-04-05 02:32 . 2013-04-05 02:32	--------	d-----w-	c:\dokumente und einstellungen\m\Anwendungsdaten\EurekaLog
2013-03-27 01:01 . 2013-03-27 01:01	--------	d-----w-	c:\dokumente und einstellungen\m\Lokale Einstellungen\Anwendungsdaten\PDF24
2013-03-19 16:26 . 2013-02-12 00:32	12928	-c----w-	c:\windows\system32\dllcache\usb8023x.sys
2013-03-19 16:26 . 2013-02-12 00:32	12928	-c----w-	c:\windows\system32\dllcache\usb8023.sys
2013-03-19 16:12 . 2013-03-19 16:12	--------	d-----w-	c:\dokumente und einstellungen\TEMP\Lokale Einstellungen\Anwendungsdaten\ABBYY
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-12 00:32 . 2008-04-13 18:56	12928	------w-	c:\windows\system32\drivers\usb8023x.sys
2013-02-12 00:32 . 2004-08-03 21:04	12928	----a-w-	c:\windows\system32\drivers\usb8023.sys
2013-02-05 19:56 . 2004-08-03 22:57	916480	----a-w-	c:\windows\system32\wininet.dll
2013-02-05 19:56 . 2004-08-03 22:57	43520	----a-w-	c:\windows\system32\licmgr10.dll
2013-02-05 19:56 . 2004-08-03 22:58	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2013-02-05 05:53 . 2004-08-03 22:42	385024	----a-w-	c:\windows\system32\html.iec
2013-01-26 03:55 . 2004-08-03 22:57	552448	----a-w-	c:\windows\system32\oleaut32.dll
2003-03-21 12:45 . 2010-01-18 02:20	250544	----a-w-	c:\programme\Gemeinsame Dateien\keyhelp.ocx
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-09-19 455968]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-27 16875008]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-07-01 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-07-01 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-07-01 141848]
"SmcService"="d:\sygate\SPF\smc.exe" [2004-10-15 2577632]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2006-06-13 127036]
"Acrobat Assistant 7.0"="d:\adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"iTunesHelper"="d:\itunes\iTunesHelper.exe" [2009-10-28 141600]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"avgnt"="d:\avira\AntiVir Desktop\avgnt.exe" [2012-08-12 348664]
"PDFPrint"="d:\pdf24\pdf24.exe" [2013-03-20 162856]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-09-19 455968]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
CCleaner.lnk - d:\ccleaner\CCleaner.exe [2011-11-28 2682688]
Editor.lnk - c:\windows\system32\notepad.exe [2004-8-4 70144]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-09-23 19:43	926896	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2008-02-28 16:07	1828136	----a-w-	c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2007-01-08 20:17	52256	----a-w-	d:\powerdvd\Language\Language.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nero PhotoShow Media Manager]
2008-02-12 15:09	353544	----a-w-	d:\nero\PHOTOS~1\data\Xtras\mssysmgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2008-03-25 12:33	570664	----a-w-	c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power2GoExpress]
2007-09-11 14:01	2503976	------w-	d:\power2go\Power2GoExpress.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2007-03-14 19:01	71216	------w-	d:\powerdvd\PDVDServ.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Miranda IM_Benutzer\\miranda32.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\iTunes\\iTunes.exe"=
"d:\\Opera\\opera.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [22.03.2010 00:11 64288]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [24.10.2011 04:19 36000]
R2 AntiVirSchedulerService;Avira Planer;d:\avira\AntiVir Desktop\sched.exe [24.10.2011 04:20 86224]
R2 MBAMScheduler;MBAMScheduler;d:\malwarebytes' anti-malware\mbamscheduler.exe [07.04.2013 06:11 398184]
R2 MBAMService;MBAMService;d:\malwarebytes' anti-malware\mbamservice.exe [07.04.2013 06:11 682344]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [07.04.2013 06:11 21104]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;d:\lavasoft_ad-aware\Ad-Aware\AAWService.exe [04.02.2010 17:52 1355968]
S3 __FOX__FOXONE_DRIVER__;__FOX__FOXONE_DRIVER__;\??\c:\dokume~1\LEITST~1\LOKALE~1\Temp\FoxDriver.sys --> c:\dokume~1\LEITST~1\LOKALE~1\Temp\FoxDriver.sys [?]
S3 FXDrv32;FXDrv32;\??\d:\fxdrv32.sys --> d:\FXDrv32.sys [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-09-19 19:46	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-04-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- d:\lavasoft_ad-aware\Ad-Aware\Ad-AwareAdmin.exe [2010-02-04 21:12]
.
2013-04-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-24 19:58]
.
2013-04-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-24 19:58]
.
2013-04-07 c:\windows\Tasks\User_Feed_Synchronization-{2272640E-6ED3-4ECA-8747-1525EA6CB452}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\m\Anwendungsdaten\Mozilla\Firefox\Profiles\cmaj30w8.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
ShellExecuteHooks-{4F07DA45-8170-4859-9B5F-037EF2970034} - (no file)
AddRemove-Ad-Aware - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}\Ad-AwareInstaller.exe
AddRemove-Download Guard for Internet Explorer - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{CCE9E666-4D7C-4946-A98B-CFDE0A0C1706}\Download Guard for Internet Explorer.exe
AddRemove-{5E11064C-41D6-4451-B45A-E36DFBCB84AC} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{CCE9E666-4D7C-4946-A98B-CFDE0A0C1706}\Download Guard for Internet Explorer.exe
AddRemove-{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}\Ad-AwareInstaller.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-04-07 18:47
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
Zeit der Fertigstellung: 2013-04-07  18:48:48
ComboFix-quarantined-files.txt  2013-04-07 16:48
.
Vor Suchlauf: 285.945.856 Bytes frei
Nach Suchlauf: 550.846.464 Bytes frei
.
- - End Of File - - A1237F00C7BE6E93744AD3BDF5E79146

2. OTL.txt

Code:

ATTFilter

OTL logfile created on: 07.04.2013 18:52:37 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = D:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,24 Gb Total Physical Memory | 2,53 Gb Available Physical Memory | 78,15% Memory free
7,08 Gb Paging File | 6,47 Gb Available in Paging File | 91,43% Paging File free
Paging file location(s): C:\pagefile.sys 4092 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Programme
Drive C: | 30,00 Gb Total Space | 0,54 Gb Free Space | 1,82% Space Free | Partition Type: NTFS
Drive D: | 115,00 Gb Total Space | 90,05 Gb Free Space | 78,31% Space Free | Partition Type: NTFS
Drive S: | 30,00 Gb Total Space | 5,41 Gb Free Space | 18,04% Space Free | Partition Type: NTFS
 
Computer Name: PRIVAT | User Name: m | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.04.05 19:45:48 | 000,602,112 | ---- | M] (OldTimer Tools) -- D:\OTL.exe
PRC - [2013.03.20 13:55:48 | 000,162,856 | ---- | M] (Geek Software GmbH) -- D:\PDF24\pdf24.exe
PRC - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) -- D:\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.12.14 16:49:28 | 000,512,360 | ---- | M] (Malwarebytes Corporation) -- D:\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) -- D:\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2012.08.12 22:01:36 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- D:\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.05.10 23:18:04 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- D:\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.10 23:18:01 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- D:\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.10 23:18:01 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- D:\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.10.24 04:05:22 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- D:\Java\bin\jqs.exe
PRC - [2010.06.17 22:56:44 | 000,370,176 | ---- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe
PRC - [2009.08.28 20:42:54 | 000,144,672 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
PRC - [2008.04.23 03:08:13 | 000,483,328 | ---- | M] (Adobe Systems Inc.) -- D:\Adobe\Acrobat 7.0\Distillr\acrotray.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.02.28 18:07:58 | 001,828,136 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
PRC - [2008.02.28 18:07:48 | 000,529,704 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
PRC - [2007.09.25 16:16:08 | 000,079,136 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
PRC - [2007.09.19 21:48:24 | 000,455,968 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
PRC - [2006.06.13 05:20:00 | 000,127,036 | ---- | M] (Sonic Solutions) -- C:\WINDOWS\system32\DLA\DLACTRLW.EXE
PRC - [2004.10.15 20:40:56 | 002,577,632 | ---- | M] (Sygate Technologies, Inc.) -- D:\Sygate\SPF\Smc.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.05.10 23:18:04 | 000,398,288 | ---- | M] () -- D:\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2010.06.17 22:56:52 | 000,116,224 | ---- | M] () -- C:\WINDOWS\system32\redmonnt.dll
MOD - [2009.11.03 16:51:26 | 000,039,712 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\ASL.dll
MOD - [2007.08.14 15:43:46 | 006,365,184 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\LightScribe\QtGui4.dll
MOD - [2007.07.12 13:55:52 | 000,131,072 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\LightScribe\plugins\imageformats\qjpeg4.dll
MOD - [2007.07.12 13:55:28 | 001,581,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\LightScribe\QtCore4.dll
MOD - [2006.01.12 22:20:48 | 001,265,664 | ---- | M] () -- D:\Adobe\Acrobat 7.0\Distillr\adistres.DEU
MOD - [2006.01.12 22:20:26 | 000,019,968 | ---- | M] () -- D:\Adobe\Acrobat 7.0\Distillr\acrotray.DEU
MOD - [2006.01.12 22:13:46 | 000,019,968 | ---- | M] () -- D:\Adobe\Acrobat 7.0\Distillr\acrotray.FRA
MOD - [2004.10.15 19:32:20 | 001,385,712 | ---- | M] () -- D:\Sygate\SPF\tse.dll
MOD - [2004.10.15 19:32:18 | 000,832,744 | ---- | M] () -- D:\Sygate\SPF\SyLink.dll
MOD - [2004.10.15 19:32:12 | 000,890,088 | ---- | M] () -- D:\Sygate\SPF\SpNet.dll
 
 
========== Services (SafeList) ==========
 
SRV - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- D:\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- D:\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2012.07.11 23:12:03 | 001,355,968 | ---- | M] (Lavasoft) [Auto | Stopped] -- D:\Lavasoft_Ad-Aware\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
SRV - [2012.05.10 23:18:04 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- D:\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.10 23:18:01 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- D:\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.10.24 04:05:22 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) [Auto | Running] -- D:\Java\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2009.10.17 22:20:20 | 000,069,632 | ---- | M] (Adobe Systems) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2009.10.17 20:18:13 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2009.08.28 20:42:54 | 000,144,672 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2008.02.28 18:07:48 | 000,529,704 | ---- | M] (Nero AG) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2007.09.25 16:16:08 | 000,079,136 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2007.03.20 16:41:24 | 000,153,792 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe -- (Adobe Version Cue CS3)
SRV - [2004.10.15 20:40:56 | 002,577,632 | ---- | M] (Sygate Technologies, Inc.) [Auto | Running] -- D:\Sygate\SPF\Smc.exe -- (SmcService)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\FXDrv32.sys -- (FXDrv32)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOKUME~1\m\LOKALE~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOKUME~1\LEITST~1\LOKALE~1\Temp\FoxDriver.sys -- (__FOX__FOXONE_DRIVER__)
DRV - [2012.12.14 16:49:28 | 000,021,104 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012.05.10 23:18:04 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.10 23:18:04 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.11 15:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.11.14 20:02:50 | 000,231,248 | ---- | M] (TrueCrypt Foundation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\truecrypt.sys -- (truecrypt)
DRV - [2010.08.29 23:11:34 | 000,064,288 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\Lbd.sys -- (Lbd)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.06.27 05:24:56 | 004,742,656 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2008.05.07 13:31:16 | 000,106,368 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2006.06.13 05:20:00 | 000,094,460 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS -- (DLAUDFAM)
DRV - [2006.06.13 05:20:00 | 000,088,476 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS -- (DLAUDF_M)
DRV - [2006.06.13 05:20:00 | 000,086,844 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS -- (DLAIFS_M)
DRV - [2006.06.13 05:20:00 | 000,025,724 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS -- (DLABOIOM)
DRV - [2006.06.13 05:20:00 | 000,014,716 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS -- (DLAOPIOM)
DRV - [2006.06.13 05:20:00 | 000,006,364 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS -- (DLAPoolM)
DRV - [2006.06.13 05:20:00 | 000,002,496 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLADResN.SYS -- (DLADResN)
DRV - [2006.03.17 08:35:24 | 000,005,660 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM)
DRV - [2006.03.17 08:34:46 | 000,022,684 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS -- (DLARTL_N)
DRV - [2004.10.15 19:32:44 | 000,014,568 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\wg6n.sys -- (wg6n)
DRV - [2004.10.15 19:32:42 | 000,014,568 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\wg5n.sys -- (wg5n)
DRV - [2004.10.15 19:32:40 | 000,014,568 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\wg4n.sys -- (wg4n)
DRV - [2004.10.15 19:32:38 | 000,014,568 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\wg3n.sys -- (wg3n)
DRV - [2004.10.15 18:18:46 | 000,021,075 | ---- | M] (Sygate Technologies, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\wpsdrvnt.sys -- (wpsdrvnt)
DRV - [2004.10.15 18:17:02 | 000,060,496 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\Teefer.sys -- (Teefer)
DRV - [2001.08.17 14:51:32 | 000,018,688 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\irsir.sys -- (irsir)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-776561741-2111687655-839522115-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-776561741-2111687655-839522115-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = AE B1 77 34 BE 24 CE 01  [binary data]
IE - HKU\S-1-5-21-776561741-2111687655-839522115-1008\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-776561741-2111687655-839522115-1008\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-776561741-2111687655-839522115-1008\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: D:\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: D:\Java\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: D:\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\jqs@sun.com: D:\Java\lib\deploy\jqs\ff [2011.10.24 04:05:23 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 2.0.0.20\extensions\\Components: D:\Mozilla Firefox\components [2010.09.07 23:28:27 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 2.0.0.20\extensions\\Plugins: D:\Mozilla Firefox\plugins [2013.04.07 12:19:58 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: D:\Mozilla Thunderbird\components [2011.01.26 06:46:47 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: D:\Mozilla Thunderbird\plugins
 
[2013.01.27 20:52:57 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\m\Anwendungsdaten\Mozilla\Firefox\Profiles\cmaj30w8.default\extensions
[2013.01.27 20:52:57 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\m\Anwendungsdaten\Mozilla\Firefox\Profiles\cmaj30w8.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.10.24 04:05:23 | 000,000,000 | ---D | M] (Java Quick Starter) -- D:\JAVA\LIB\DEPLOY\JQS\FF
[2011.10.24 04:05:35 | 000,000,000 | ---D | M] (Java Console) -- D:\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
[2009.06.04 23:29:59 | 000,000,000 | ---D | M] (DOM Inspector) -- D:\MOZILLA FIREFOX\EXTENSIONS\INSPECTOR@MOZILLA.ORG
[2009.06.04 23:29:59 | 000,000,000 | ---D | M] (Talkback) -- D:\MOZILLA FIREFOX\EXTENSIONS\TALKBACK@MOZILLA.ORG
 
O1 HOSTS File: ([2013.04.07 18:47:36 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Download Guard for Internet Explorer) - {20C1A7F0-528E-444F-BAC5-5804A61CCA7F} - D:\Lavasoft_Ad-Aware\Download Guard for Internet Explorer\DownloadGuardBHO.dll (Lavasoft AB                                         )
O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Java\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Java\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Acrobat Assistant 7.0] D:\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Adobe_ID0EYTHM] C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3Tray.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] D:\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [PDFPrint] D:\PDF24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [SmcService] D:\Sygate\SPF\smc.exe (Sygate Technologies, Inc.)
O4 - HKU\.DEFAULT..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKU\S-1-5-18..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKU\S-1-5-21-776561741-2111687655-839522115-1008..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe (Nero AG)
O4 - HKU\S-1-5-21-776561741-2111687655-839522115-1008..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\CCleaner.lnk = D:\CCleaner\CCleaner.exe (Piriform Ltd)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-776561741-2111687655-839522115-1008\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-776561741-2111687655-839522115-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-776561741-2111687655-839522115-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-776561741-2111687655-839522115-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\WinHTTrack\WinHTTrackIEBar.dll ()
O9 - Extra 'Tools' menuitem : Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\WinHTTrack\WinHTTrackIEBar.dll ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1354479623281 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\windows\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.03 20:42:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O34 - HKLM BootExecute: (lsdelete)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.04.07 18:40:27 | 000,518,144 | ---- | C] (SteelWerX) -- C:\windows\SWREG.exe
[2013.04.07 18:40:27 | 000,406,528 | ---- | C] (SteelWerX) -- C:\windows\SWSC.exe
[2013.04.07 18:40:27 | 000,212,480 | ---- | C] (SteelWerX) -- C:\windows\SWXCACLS.exe
[2013.04.07 18:40:27 | 000,060,416 | ---- | C] (NirSoft) -- C:\windows\NIRCMD.exe
[2013.04.07 18:40:20 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.04.07 18:40:17 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\m\Startmenü\Programme\Verwaltung
[2013.04.07 18:40:17 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\m\Eigene Dateien\Eigene Videos
[2013.04.07 18:40:10 | 000,000,000 | ---D | C] -- C:\windows\erdnt
[2013.04.07 18:39:35 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\m\Recent
[2013.04.07 17:44:20 | 005,048,200 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\m\Desktop\ComboFix.exe
[2013.04.07 16:34:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Earth
[2013.04.07 06:11:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\m\Anwendungsdaten\Malwarebytes
[2013.04.07 06:11:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.04.07 06:11:44 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbam.sys
[2013.04.05 04:32:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\m\Anwendungsdaten\EurekaLog
[2013.03.27 03:01:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\m\Lokale Einstellungen\Anwendungsdaten\PDF24
[2013.03.27 02:59:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\PDF24
[2010.01.18 04:20:04 | 000,250,544 | ---- | C] (KeyWorks Software) -- C:\Programme\Gemeinsame Dateien\keyhelp.ocx
[4 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]
[1 C:\windows\System32\*.tmp files -> C:\windows\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.04.07 18:54:00 | 000,000,428 | -H-- | M] () -- C:\windows\tasks\User_Feed_Synchronization-{2272640E-6ED3-4ECA-8747-1525EA6CB452}.job
[2013.04.07 18:47:36 | 000,000,027 | ---- | M] () -- C:\windows\System32\drivers\etc\hosts
[2013.04.07 18:42:54 | 000,138,415 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\boot PArtition kann nicht richtig enummeriert werden.JPG
[2013.04.07 18:32:39 | 000,001,094 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.04.07 18:32:27 | 000,002,206 | ---- | M] () -- C:\windows\System32\wpa.dbl
[2013.04.07 18:31:54 | 000,002,048 | --S- | M] () -- C:\windows\bootstat.dat
[2013.04.07 18:27:38 | 000,030,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\img-pic-480_Katze am Steuer_Lenkrad!.jpg
[2013.04.07 18:14:41 | 000,469,342 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\20130407_OTL - OTLogfile by Oldtimer - Trojaner-Board - www.trojaner-board.de_85104-otl-otlogfile-by-oldtimer.html.png
[2013.04.07 18:06:20 | 000,103,377 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\Aufgaben.JPG
[2013.04.07 17:59:00 | 000,001,098 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.04.07 17:44:30 | 005,048,200 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\m\Desktop\ComboFix.exe
[2013.04.07 16:34:31 | 000,001,893 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2013.04.07 13:21:00 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\m\defogger_reenable
[2013.04.05 04:27:38 | 000,442,432 | ---- | M] () -- C:\windows\System32\perfh007.dat
[2013.04.05 04:27:38 | 000,426,696 | ---- | M] () -- C:\windows\System32\perfh009.dat
[2013.04.05 04:27:38 | 000,078,302 | ---- | M] () -- C:\windows\System32\perfc007.dat
[2013.04.05 04:27:38 | 000,065,706 | ---- | M] () -- C:\windows\System32\perfc009.dat
[2013.04.03 23:11:12 | 000,000,466 | ---- | M] () -- C:\windows\tasks\Ad-Aware Update (Weekly).job
[4 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]
[1 C:\windows\System32\*.tmp files -> C:\windows\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.04.07 18:42:54 | 000,138,415 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\boot PArtition kann nicht richtig enummeriert werden.JPG
[2013.04.07 18:40:27 | 000,256,000 | ---- | C] () -- C:\windows\PEV.exe
[2013.04.07 18:40:27 | 000,208,896 | ---- | C] () -- C:\windows\MBR.exe
[2013.04.07 18:40:27 | 000,098,816 | ---- | C] () -- C:\windows\sed.exe
[2013.04.07 18:40:27 | 000,080,412 | ---- | C] () -- C:\windows\grep.exe
[2013.04.07 18:40:27 | 000,068,096 | ---- | C] () -- C:\windows\zip.exe
[2013.04.07 18:27:38 | 000,030,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\img-pic-480_Katze am Steuer_Lenkrad!.jpg
[2013.04.07 18:12:56 | 000,469,342 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\20130407_OTL - OTLogfile by Oldtimer - Trojaner-Board - www.trojaner-board.de_85104-otl-otlogfile-by-oldtimer.html.png
[2013.04.07 17:45:34 | 000,103,377 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\Aufgaben.JPG
[2013.04.07 16:34:31 | 000,001,893 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2013.04.07 13:21:00 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\m\defogger_reenable
[2013.01.27 21:02:51 | 000,000,664 | ---- | C] () -- C:\windows\System32\d3d9caps.dat
[2012.12.02 22:40:06 | 000,003,072 | ---- | C] () -- C:\windows\System32\iacenc.dll
 
========== ZeroAccess Check ==========
 
[2009.06.05 01:07:17 | 000,000,227 | RHS- | M] () -- C:\windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2009.03.03 01:10:15 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 04:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2011.06.17 21:00:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess
[2013.01.12 11:00:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firebird
[2010.11.14 11:46:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF
[2009.07.21 17:52:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
[2009.07.19 12:01:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simple Star Shared
[2013.01.12 09:30:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SuperFlexibleSynchronizer
[2010.08.01 02:51:23 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\System Restore
[2010.01.07 03:56:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2011.03.16 23:33:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\janinew\Anwendungsdaten\TrueCrypt
[2013.04.07 18:12:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jw\Anwendungsdaten\FireShot
[2011.03.12 05:05:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jw\Anwendungsdaten\K-Meleon
[2011.07.31 14:12:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jw\Anwendungsdaten\Notepad++
[2011.03.12 04:12:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jw\Anwendungsdaten\Opera
[2011.07.31 14:30:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jw\Anwendungsdaten\Screenshot Studio
[2011.05.04 22:22:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jw\Anwendungsdaten\TrueCrypt
[2011.10.24 04:00:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Leitstelle\Anwendungsdaten\FireShot
[2010.10.07 02:46:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Leitstelle\Anwendungsdaten\inkscape
[2012.01.30 18:13:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Leitstelle\Anwendungsdaten\Notepad++
[2009.07.19 12:39:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Leitstelle\Anwendungsdaten\OpenOffice.org
[2009.06.04 23:32:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Leitstelle\Anwendungsdaten\Opera
[2009.07.19 11:52:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Leitstelle\Anwendungsdaten\Simple Star
[2009.06.04 23:17:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Leitstelle\Anwendungsdaten\Thunderbird
[2011.03.17 01:06:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Leitstelle\Anwendungsdaten\TrueCrypt
[2013.04.05 04:32:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\m\Anwendungsdaten\EurekaLog
[2011.03.17 00:07:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\m\Anwendungsdaten\Opera
[2011.04.02 23:17:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\m\Anwendungsdaten\TrueCrypt
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\All Users\Dokumente\index.dat:SummaryInformation

< End of report >

aharonov · 07.04.2013, 18:39

War der Rechner während des Combofix-Scans ans Internet angeschlossen oder nicht?
Und ist die Platte mit TrueCrypt verschlüsselt?

enemenemu+ · 07.04.2013, 18:57

Ja, während ComboFix war der Rechner ans Internet angeschlossen (Internet funktionierte, davor mit IE ausprobiert).

TC: Ja, (zumindest) eine (virtuelle) Festplatte und - eventuell - weitere einzelne Dateien, nicht jedoch die (virtuelle) Festplatte C:// oder D:// oder S:// - und der gesamte Rechner auch derzeit (noch) nicht.

aharonov · 07.04.2013, 19:03

Ok.
Aber irgendwie ist da im Vergleich zum letzten Scan ein krummer Treiber verschwunden, den ich eigentlich löschen wollte...
Mach bitte nochmals einen Gmer-Scan:

Schritt 1

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
Schliesse bitte alle anderen Programme.
Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Sollte sich ein Fenster mit folgender Warnung öffnen
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
dann klicke unbedingt auf No.
Entferne rechts den Haken bei:
- IAT/EAT
- Show all
Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
Starte den Scan mit einem Klick auf Scan.
Mache gar nichts am Computer, während der Scan läuft!
Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.

Bitte poste in deiner nächsten Antwort:

Log von Gmer

enemenemu+ · 07.04.2013, 23:42

Welcher Treiber?
Eventuell habe ich ihn gerade deaktiviert oder gelöscht? zB mit CCleaner automatisch
Oder hängt das mit dem anderen Benutzernamen zusammen, mit dem ich es als Admin ausführe und dann eingeschränkt (mit einem nichtbetroffenen Benutzerkonto) hochlade?
Oder ist er durch einen Neustart verlorengegangen?

Hier der GMER-Scan (sowohl QuickScan als auch Scan von C:\):

Code:

ATTFilter

GMER 2.1.19163 - h**p://www.gmer.net
Rootkit scan 2013-04-07 23:39:22
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-6 ST3320613AS rev.CC2F 298,09GB
Running: gmer_2.1.19163.exe; Driver: C:\DOKUME~1\m\LOKALE~1\Temp\uwtdapob.sys


---- System - GMER 2.1 ----

SSDT    \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys  ZwAllocateVirtualMemory [0xBA22AB30]
SSDT    BA7ABE44                                      ZwClose
SSDT    Lbd.sys                                       ZwCreateKey [0xBA0F887E]
SSDT    BA7ABE4E                                      ZwCreateSection
SSDT    BA7ABDF4                                      ZwCreateThread
SSDT    BA7ABE3F                                      ZwDuplicateObject
SSDT    \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys  ZwMapViewOfSection [0xBA22A470]
SSDT    BA7ABDE0                                      ZwOpenProcess
SSDT    BA7ABDE5                                      ZwOpenThread
SSDT    \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys  ZwProtectVirtualMemory [0xBA22AC50]
SSDT    BA7ABE67                                      ZwQueryValueKey
SSDT    BA7ABE58                                      ZwRequestWaitReplyPort
SSDT    BA7ABE53                                      ZwSetContextThread
SSDT    BA7ABE5D                                      ZwSetSecurityObject
SSDT    Lbd.sys                                       ZwSetValueKey [0xBA0F8BFE]
SSDT    \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys  ZwShutdownSystem [0xBA22A990]
SSDT    BA7ABE62                                      ZwSystemDebugControl
SSDT    BA7ABDEF                                      ZwTerminateProcess
SSDT    \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys  ZwWriteVirtualMemory [0xBA22AD60]

---- Devices - GMER 2.1 ----

Device  \Driver\Tcpip \Device\Ip                      wpsdrvnt.sys
Device  \Driver\Tcpip \Device\Tcp                     wpsdrvnt.sys
Device  \Driver\Tcpip \Device\Udp                     wpsdrvnt.sys
Device  \Driver\Tcpip \Device\RawIp                   wpsdrvnt.sys
Device  \Driver\Tcpip \Device\IPMULTICAST             wpsdrvnt.sys
Device  \FileSystem\Cdfs \Cdfs                        DLAIFS_M.SYS

---- EOF - GMER 2.1 ----

aharonov · 07.04.2013, 23:58

Crosspost

Ich hab gesehen, dass du auch in einem anderen Forum nach Hilfe gefragt hast: http://forum.chip.de/viren-trojaner-...i-1725100.html.
Auch wenn es verständlich ist, dass du möglichst schnell deine Probleme gelöst haben willst und deshalb die Chancen auf baldige Hilfe durch mehrere Anfragen zu erhöhen versuchst, beachte bitte Folgendes:

Sofortige Hilfestellungen und Problemlösungen kannst du in einem Forum wie diesem mit ehrenamtlichen Helfern grundsätzlich nicht erwarten. Eine Bereinigung kann sich je nach Umständen über mehrere Tage hinziehen. Wenn es wirklich eilt, dann bring den Rechner in ein kommerzielles Fachgeschäft.
Das Auswerten von Log-Dateien kann aufwändige Arbeit sein. Indem du in mehreren Foren das gleich Problem postest, verschwendest du die kostbare Zeit von mindestens einem der Helfer, der sich diese Mühe dann völlig umsonst macht. Das ist ihnen gegenüber nicht fair.
Voneinander unabhängige Anweisungen von mehreren Helfern gleichzeitig auszuführen, ist gar nicht empfehlenswert. Im besten Fall führt das zu etwas Verwirrung und im schlimmsten Fall zu systemgefährdenden Situationen. Sicher aber verzögert es die Bereinigung viel eher, als dass es sie beschleunigt.

Ich bitte dich deshalb, dich jetzt für ein Forum zu entscheiden und in den anderen Bescheid zu geben, dass du keine weitere Hilfe mehr benötigst.

enemenemu+ · 08.04.2013, 21:02

Ich habe mich im anderen Forum abgemeldet.

Ich ersuche um weitere Ratschläge in diesem TROJANER-BOARD.de-Forum.
Vielen Dank für die bisherigen Ratschläge.

aharonov · 08.04.2013, 21:07

Ok.
Dieser Treiber ist nach deinem ersten Log verschwunden:

Code:

ATTFilter

DRV - [2013.04.07 07:22:29 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\rhbhvu.sys -- (ngypdew)

Hast du den irgendwie selber gelöscht oder löschen lassen? Kläre das bitte ab.

enemenemu+ · 08.04.2013, 21:34

Zitat:

Zitat von aharonov

Ok.
Dieser Treiber ist nach deinem ersten Log verschwunden:

Code:

ATTFilter

DRV - [2013.04.07 07:22:29 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\rhbhvu.sys -- (ngypdew)

Hast du den irgendwie selber gelöscht oder löschen lassen? Kläre das bitte ab.

Nein, ich habe nur bei den Add-ons vom Internet Explorer einige deaktiviert bzw. rumprobiert,
und beim FF einige add-ons aktualisiert bzw. dazugetan und ebenso bei TOR in diesem Benutzernamen.

Weiters habe ich im CCleaner keine regerstry gelöscht - im Admin Modus.
Ich habe nur die Inhalte, Daten vom CCleaner gelöscht.

Ich habe Avira Free Antivirus und Malewarebyte durchlaufen lassen.
Die Quarantäne von Malewarebyte und Avira ist nach nochmaliger Kontrolle leer.

Löschen lassen: Ich wüßte nichts davon. Auffälligkeiten diesbezüglich merkte ich auch nicht, daß ein anderer oder Fremder an meinen Rechner in einem abgesperrten Raum ging.

aharonov · 09.04.2013, 01:46

Die folgenden Schritte sind sehr komplex, daher druckst du dir die Anleitung besser aus. Außerdem brauchst du:

Einen funktionierenden Computer mit DVD/CD-Brenner
Einen CD-Rohling.
Einen USB-Stick.

Falls du bei den folgenden Schritten eine Fehlermeldung bekommst, gib mir bitte Bescheid und gib an, an welcher Stelle das genau passiert ist.

A) Lade dir bitte die Ultimate Boot CD für Windows

Speichere es auf deinen Desktop und doppelklicke die UBCD4Win.EXE.
Folge den Anweisungen auf dem Bildschirm.
Wichtig:
- Installiere es nicht in einen Ordner mit Leerzeichen!
- Dein Virusscanner könnte anschlagen, wenn die Dateien entpackt werden. Dies sind aber Fehlalarme.

B) Lege deine Windows XP CD mit SP1/SP2/SP3 (Servicepacks) in dein CD-Laufwerk

Doppelklicke die UBCD4WinBuilder.exe im Ordner c:\ubcd4win, falls du nicht gleich vom Setup dorthin gesprungen bist.
Unter Windows Vista / 7 / 8 musst du den Builder mit Rechtsklick > Als Administrator starten.
Klicke Ich stimme zu, bei der nächsten Frage: Nein
Im folgenden Menü mache folgende Einstellungen:
- Quelle: Klicke "..." und wähle das Laufwerk aus.
- Zusätzliches: Lass das hier leer.
- Zielordner: Hier steht "BartPE", lass das so.
- Bootmedium: "ISO-Image erstellen" sollte angewählt sein - belasse dies so.
Hinweis: Falls deine XP-CD das Service Pack 1 enthält (nur dann), mache bitte folgendes:
- Klicke auf Plugins.
- Deaktiviere !Critical: DComLaunch Service
- Aktiviere !Critical: LargeIDE Fix
- Klicke: Schliessen
Hinweis: Falls du eine Installations-CD von Dell hast, dann folge bitte diesem Link für weitere Hinweise.

C) Klicke jetzt auf den Start-Button

Klicke zum Erstellen des Verzeichnisses auf Ja.
Klicke auf "Ich stimme zu", warte einige Minuten während das Image erstellt wird und dann auf schliessen > Beenden.

D) Brenne das ISO-Image auf den CD-Rohling: Anleitung

E) Lade Farbar's Recovery Scan Tool auf den sauberen Rechner und speichere es auf den USB-Stick.

F) Schließe den USB-Stick an den infizierten Rechner an, lege die UBCD4Win-CD ein und starte ihn.

Sorge dafür, dass der Computer von CD startet. (Anleitung)
Es erscheint ein Fenster in dem du die Ultimate Boot CD für Windows auswählst und Enter drücken sollst. Dies kann eine Weile dauern, sei einfach geduldig.
Wenn der Desktop erscheint, wird eine Nachricht erscheinen: Do you want to start Network support? Antworte mit Ja, wenn du sofort online gehen willst, um dein Logfile zu posten.
Es erscheint ein blauer Desktop mit grüner Schrift und einigen Icons auf der linken Seite.

G) Klicke auf das Computersymbol oben links, finde Farbar's Recovery Scan Tool (FRST.exe) auf deinem USB-Stick.

Starte FRST mit einem Doppelklick.
Bestätige die Abfrage.
Klicke auf Scan
Ein Logfile namens FRST.txt wird erstellt. Poste es hier in deinem Thema, möglichst in CODE-Tags (#-Symbol im Editor).

aharonov · 12.04.2013, 02:14

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

07.04.2013, 17:01	#4
aharonov /// TB-Ausbilder	WinXP: BKA-Trojaner füllt Bildschirm voll aus, davor sah ich einen Film an. Trojaner: Trojan.Agent In einem Konto mit Administratorenrechten. __________________ cheers, Leo

07.04.2013, 18:39	#6
aharonov /// TB-Ausbilder	WinXP: BKA-Trojaner füllt Bildschirm voll aus, davor sah ich einen Film an. Trojaner: Trojan.Agent War der Rechner während des Combofix-Scans ans Internet angeschlossen oder nicht? Und ist die Platte mit TrueCrypt verschlüsselt? __________________ --> WinXP: BKA-Trojaner füllt Bildschirm voll aus, davor sah ich einen Film an. Trojaner: Trojan.Agent

12.04.2013, 02:14	#15
aharonov /// TB-Ausbilder	WinXP: BKA-Trojaner füllt Bildschirm voll aus, davor sah ich einen Film an. Trojaner: Trojan.Agent Hi, ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe? Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos. __________________ cheers, Leo

WinXP: BKA-Trojaner füllt Bildschirm voll aus, davor sah ich einen Film an. Trojaner: Trojan.Agent

Plagegeister aller Art und deren Bekämpfung: WinXP: BKA-Trojaner füllt Bildschirm voll aus, davor sah ich einen Film an. Trojaner: Trojan.Agent