heyho.

vorweg: das ganze war vor ca 1 woche.

meine freundin hatte mich mit entsetzen angerufen, und mir erklärt dass ihre eigenen dateien alle weg waren, der ganze ordner war leer, bis auf nen ICQ ordner (wohl weil der eh bei jedem benutzer drin is^^). selbst die eigene videos + bilder ordner die ja standardmäßig drin sin, warn weg.
sie hat eine systemwiderherstellung gemacht von vor 3 tagen, nix. eine von vor 2 tagen, nix. das zeug war immernoch weg.
jetzt bin ich zu ihr geilt, und hab versucht zu retten was geht. überall nachgeschaut in verschiedenen dokumente und einstellungen ordnern (sie hat nur einen benutzer, ihren.) und halt stanni admin + all users. -> NIX zu finden, rein garnichts. wie weggeblasen.
was mich halt verwundert hat, war dass NUR die eigenen dateien weg warn, alles andre war normal. ihre desktopsymbole, ihr passwort beim hochfahren (windows benutzer anmeldung halt) etc. alle datein noch da, nur der ordner "eigenen dateien" war leer. und halt ihr hintergrundbild war weg, aber das war auch in eigene dateien drin. daher konnte er das nichmehr finden, is klar^^

jetzt hab ich EasyRecovery drüber laufen lassen und nach gelöschten files gesucht. dann bin ich im ordner "LOSTFILES" auch fündig geworden. zwar heißen die jetzt alle DIR001-099 oder so, also ewig viele. aber da drinne sin ihre dateien jetzt noch drine gewesen. natürlich auch viel anderer mist wie irgendwelche internet tempdateien abe rnaja. ham jetzt ma alle ordner durchgeschaut und alles was brauchbar erschien wiederhergestellt. das ging auch. ham jetzt wieder ca 5,5gb rezepte, gedichte, bilder, schulkrams etc gerettet. müsste fast alles sein. muss sie sich jetzt halt neu sortieren aus den DIRXXX ordnern raus -.-

von dem ganzen hin und her sind jetzt aber au noch 3 fragen / probleme entstanden


1. Wieso zur hölle wurden die datein gelöscht? Virus vielleicht? defekt der festplatte is imho quatsch da das niemals so genau NUR diesen ordner betroffen hätte. oder nen trojaner? hacker? whatever? hab gemerkt, der administrator hatte kein passwort auf ihrem pc (natürlich gleich geändert) evtl ja da was? sie hat antivir xp laufen und sitzt hinter nem fritzbox surf+phone router

2. Beim widerherstellen mancher dateien ist anscheinend was schiefgegangen. also habs bei den bildern gemerkt. viele gehn, aber in manchen ordnern sind mal paar drin die nicht angezeigt werden können, sind aber komischerweise trotzdem über 1mb groß (also genauso groß, wie die, die gehen).
noch komischer is, dass die windows vorschau bei "miniaturansicht" bei manchen bildern keine vorschau hat - die gehn dann nich. aber bei manchen ist diese vorschau vorhanden, die gehn dann auch nicht. und wieder andere gehn ohne probleme.
vermut halt da wurd beim widerherstellen bzw rettungsversuchen was überschrieben daher gehn die nich.
aber gbits da evtl ne möglichkeit durch irgendwelche programme die bilder evtl wieder funktionsfähig zu machen? vermute fast nicht

3. was würdet ihr mir da für die zukunft raten? bzw wie soll ich weiter vorgehn. den pc mit diversen programmen / onlinescannern / hijackthis prüfen lassen? irgend ne internet security anschaffen mit firewall? dachte immer sowas sollte der router erledigen :P

PS: Sie hat WinXP Pro sp3 und alle patches und Antivir Free Edition als Virenscanner (aktuell) und der findet nix virenmäßigs, was ja aber noch lange nix heißen muss :P

PPS: sry für den langen text, wollt nich so ausschweifend werden hab nur versucht alles reinzubringen dass keine fragen offen bleiben^^

PPPS: wer rechtschreibfehler findet darf sie behalten :P

Hallo m0rPh3uS und

Zitat:

den pc mit diversen programmen / onlinescannern / hijackthis prüfen lassen?

Genau das werden wir jetzt machen:

1.) Downloade dir HijackThis, erstelle eine Logfile und poste sie anschließend hier!

heyho.
thx schonma für die antwort, war btw schonma hier wegen nem problem von mir damals ^^

was uns noch wichtig wäre im mom, gibts ne möglichkeit die fehlerhaften bilder zu "repariern"?
is übrigens bei manchen word / excel dateien auch so. da kommt dann nen fehler von wegen es muss konvertiert werden, dieses feature is aber nich installiert solls gemacht werden... muss halt mal mit meiner office cd dahin dann das isntallieren, aber hat das überhaupt noch sinn oder geht das dann eh nich?

aber hab jetzt mal HijackThis laufen lassen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:20:41, on 03.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Logitech\SetPoint\LBTWiz.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Hamachi\hamachi.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\Dokumente und Einstellungen\XXX\Desktop\downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: TVEngine Helper - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - c:\programme\hbtools\hbtv\hbtvhelper.dll (file missing)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: (no name) - {CE61C24E-7668-495F-B4FF-99C92B80F418} - C:\WINDOWS\System32\odbcdp32.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Bluetooth Connection Assistant] LBTWIZ.EXE -silent
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CrystalXP] C:\Programme\CrystalXP\CrystalXP.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [QIP2005] C:\Programme\qip\qip.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: BINGOOO - {853B25B4-C802-45F9-850B-5D1568C4FFC7} - C:\Programme\BINGOOO\BINGOOO.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe

--
End of file - 9273 bytes


PS: radmin is nen remote control programm was so von mir gewollt is, dass ich mich ma mit ihr verbinden kann wenn sie probleme hat. das läuft dann über hamachi und läuft dadurch auch ins inet. diese progs sin aber nich immer an, sondern nur wenn ich sie anruf und sie diese startet.

Hallo m0rPh3uS,

Alle Punkte nach der Reihe ausführen:

1.) Bitte folgenden Eintrag / folgende Einträge mit HijackThis fixen:

Zitat:

O2 - BHO: TVEngine Helper - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - c:\programme\hbtools\hbtv\hbtvhelper.dll (file missing)
O9 - Extra button: BINGOOO - {853B25B4-C802-45F9-850B-5D1568C4FFC7} - C:\Programme\BINGOOO\BINGOOO.exe (file missing)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitial Setup1.0.0.15.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe

2.) Lasse bitte folgende Dateie(n) bei Virustotal ODER Jotti überprüfen und poste das Ergebnis hier:

Zitat:

O2 - BHO: (no name) - {CE61C24E-7668-495F-B4FF-99C92B80F418} - C:\WINDOWS\System32\odbcdp32.dll

hi
also hab die einträge mit HijackThis gefixt, und die eine datei gescannt, hier das ergebnis:

Virustotal:

Datei odbcdp32.dll empfangen 2009.01.05 23:15:42 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 33/38 (86.85%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.05 Riskware.AdWare.Win32.Stud.d!IK
AhnLab-V3 2009.1.5.3 2009.01.05 Win-Trojan/KorGameHack.9728
AntiVir 7.9.0.45 2009.01.05 ADSPY/Stud.A.1
Authentium 5.1.0.4 2009.01.05 W32/Adware.PL
Avast 4.8.1281.0 2009.01.05 Win32:Trojano-3384
AVG 8.0.0.199 2009.01.05 Generic.LRH
BitDefender 7.2 2009.01.05 Trojan.Downloader.6588.E
CAT-QuickHeal 10.00 2009.01.05 -
ClamAV 0.94.1 2009.01.05 Adware.BHO-13
Comodo 878 2009.01.05 Application.Win32.Adware.BHO.AA
DrWeb 4.44.0.09170 2009.01.05 Trojan.DownLoader.6588
eTrust-Vet 31.6.6289 2009.01.02 -
Ewido 4.0 2008.12.31 Downloader.Small.cgu
F-Prot 4.4.4.56 2009.01.05 W32/Adware.PL
F-Secure 8.0.14470.0 2009.01.05 AdWare.Win32.Stud.a
Fortinet 3.117.0.0 2009.01.05 W32/Small.CGU!tr
GData 19 2009.01.05 Trojan.Downloader.6588.E
Ikarus T3.1.1.45.0 2009.01.05 not-a-virus:AdWare.Win32.Stud.d
K7AntiVirus 7.10.576 2009.01.05 Non-Virus:AdWare.Win32.Stud.a
Kaspersky 7.0.0.125 2009.01.05 not-a-virus:AdWare.Win32.Stud.a
McAfee 5486 2009.01.05 potentially unwanted program Adware-KeenValue
McAfee+Artemis 5486 2009.01.05 potentially unwanted program Adware-KeenValue
Microsoft 1.4205 2009.01.05 Trojan:Win32/Webprefix
NOD32 3740 2009.01.05 Win32/Adware.BHO.AA
Norman 5.80.02 2009.01.02 W32/Stud.B
Panda 9.0.0.4 2009.01.05 Adware/KeenValue
PCTools 4.4.2.0 2009.01.05 Adware.Stud
Prevx1 V2 2009.01.05 -
Rising 21.11.02.00 2009.01.05 Trojan.PSW.KorGame.i
SecureWeb-Gateway 6.7.6 2009.01.05 Ad-Spyware.Stud.A.1
Sophos 4.37.0 2009.01.05 MapKon
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2009.01.05 Adware.Webprefix
TheHacker 6.3.1.4.205 2009.01.05 Adware/Stud.a
TrendMicro 8.700.0.1004 2009.01.05 TROJ_DLOADER.BID
VBA32 3.12.8.10 2009.01.05 AdWare.Win32.Stud.a
ViRobot 2009.1.5.1544 2009.01.05 -
VirusBuster 4.5.11.0 2009.01.05 Adware.Stud.Gen

Jotti:

Datei: odbcdp32.dll
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
UPX
Bit9 rapportiert: {BIT9_THREAT}

A-Squared: Riskware.AdWare.Win32.Stud.d!IK gefunden
AntiVir: ADSPY/Stud.A.1 gefunden
ArcaVir: Adware.Stud.A gefunden
Avast: Win32:Trojano-3384 gefunden
AVG Antivirus: Generic.LRH gefunden
BitDefender: Trojan.Downloader.6588.E gefunden
ClamAV: Adware.BHO-13 gefunden
CPsecure: AdWare.W32.Stud.A gefunden
Dr.Web: Trojan.DownLoader.6588 gefunden
F-Prot Antivirus: W32/Adware.PL gefunden
F-Secure Anti-Virus: not-a-virus:AdWare.Win32.Stud.a (4, 1, 400) gefunden
G DATA: Win32:Trojano-3384 gefunden
Ikarus: Trojan-Dropper.Agent gefunden
Kaspersky Anti-Virus: not-a-virus:AdWare.Win32.Stud.a gefunden
NOD32: Win32/Adware.BHO.AA application gefunden
Norman Virus Control: W32/Stud.B gefunden
Panda Antivirus: Keine Viren gefunden
Sophos Antivirus: Keine Viren gefunden
VirusBuster: Adware.Stud.Gen gefunden
VBA32: AdWare.Win32.Stud.a gefunden

hab jetzt einfach ma beide laufen lassen.

Hallo m0rPh3uS,

1.) Bitte folgenden Eintrag / folgende Einträge mit HijackThis fixen:

Zitat:

O2 - BHO: (no name) - {CE61C24E-7668-495F-B4FF-99C92B80F418} - C:\WINDOWS\System32\odbcdp32.dll

2.) Versteckte Dateien anzeigen lassen (Arbeitsplatz -> Extras -> Ordneroptionen -> Ansicht -> Geschützte Systemdateien ausblenden (empfohlen) -> Hacken entfernen / Alle Dateien und Ordner anzeigen -> Hacken setzen)

3.) Download von Malwarebytes' Anti-Malware. Danach installieren und die aktuellen Updates herunterladen. Vollständiger Systemscan auswählen und starten. Sobald der Scan beendet ist, klickst du auf "Ausgewähltes entfernen" und postest das Ergebnis dann hier!

alles soweit getan, hier die log:

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1624
Windows 5.1.2600 Service Pack 3

06.01.2009 18:40:36
mbam-log-2009-01-06 (18-40-36).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 212527
Laufzeit: 2 hour(s), 53 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 20
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\tvengine.bho (Spyware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\tvengine.bho.1 (Spyware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{9fe6e4aa-800c-46a6-943d-dd83d90c25f0} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4b18dd50-c996-44fc-ac52-0fecff82ed58} (Spyware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{7e66936c-fea0-4984-ad26-7b6661ac5b2e} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\Shared (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\MSN Messenger\msimg32.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MSN Messenger\riched20.dll (Adware.MyWeb.FunWeb) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\Shared\0018896E.dat (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Jana Denner\Lokale Einstellungen\Temp\dat68.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

Hallo m0rPh3uS,

1.) Lade dir SUPERAntiSpyware herunter und installiere es. Folge den Anweisungen und poste das entstandene Logfile!


2.) Lade dir bitte den Avast! Virus Cleaner herunter. Starte das Tool mit Administrator Rechte. Scanne deinen Computer und poste anschließend das entstandene Logfile!


3.) Lade dir bitte das kostenlose Tool Dr.Web CureIt! herunter. Starte das Tool mit Administrator Rechte, lasse den Computer überprüfen und zum Schluss wählst du Datei -> Protokollliste speichern! Bericht hier posten!

1.) SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/06/2009 at 10:04 PM

Application Version : 4.24.1004

Core Rules Database Version : 3696
Trace Rules Database Version: 1672

Scan type : Complete Scan
Total Scan Time : 02:35:56

Memory items scanned : 490
Memory threats detected : 0
Registry items scanned : 7637
Registry threats detected : 0
File items scanned : 160276
File threats detected : 20

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@apmebf[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@atwola[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@imrworldwide[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@overture[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@atdmt[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@tradedoubler[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@doubleclick[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@fastclick[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@smartadserver[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@kaspersky.122.2o7[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Cookies\BENUTZER@adserver.71i[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Lokale Einstellungen\Temp\Cookies\BENUTZER@2o7[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Lokale Einstellungen\Temp\Cookies\BENUTZER@adtech[1].txt
C:\Dokumente und Einstellungen\BENUTZER\Lokale Einstellungen\Temp\Cookies\BENUTZER@atdmt[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Lokale Einstellungen\Temp\Cookies\BENUTZER@atwola[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Lokale Einstellungen\Temp\Cookies\BENUTZER@hmt.connexpromotions[2].txt
C:\Dokumente und Einstellungen\BENUTZER\Lokale Einstellungen\Temp\Cookies\BENUTZER@mywebsearch[2].txt

Adware.HotBar (Low Risk)
C:\WINDOWS\Downloaded Program Files\HbInstIE.dll

Trojan.Downloader-EventLoh
C:\DOKUMENTE UND EINSTELLUNGEN\BENUTZER\DESKTOP\DOWNLOADS\BACKUPS\BACKUP-20090106-152858-626.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{28FDBCA5-F4A6-460A-B50C-1AE879410653}\RP707\A0141144.DLL


2.) Avast!

06.01.2009, 22:43:56
Memory scanning started...
No virus body found in memory.
Memory scanning finished (27,5s).
----------
Files scanning started...
C:\games\Starcraft\maps\replays\........................rep... file could not be scanned!
C:\System Volume Information\catalog.wci\CiP10000.001... file could not be scanned!
C:\System Volume Information\_restore{28FDBCA5-F4A6-460A-B50C-1AE879410653}\RP708\A0141181.dll... file could not be scanned!
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb... file could not be scanned!
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log... file could not be scanned!
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb... file could not be scanned!
C:\WINDOWS\system32\CatRoot2\edb.log... file could not be scanned!
C:\WINDOWS\system32\CatRoot2\tmp.edb... file could not be scanned!
C:\WINDOWS\system32\drivers\dtscsi.sys... file could not be scanned!
C:\WINDOWS\system32\drivers\sptd.sys... file could not be scanned!
C:\WINDOWS\system32\drivers\sptd6141.sys... file could not be scanned!
No virus body found.
Files scanning finished (161865 files, 0 infected, 3877,7s).
Drives scanned: C:
----------


3.) folgt noch ...

so, jetzt hier 3.)

DinerDashFotGSetup-dm[1].exe C:\Downloads
AdmDll.dll C:\Programme\Radmin
raddrv.dll C:\Programme\Radmin
radmin.exe C:\Programme\Radmin
r_server.exe C:\Programme\Radmin
A0141216.dll C:\System Volume Information\_restore{28FDBCA5-F4A6-460A-B50C-1AE879410653}\RP709
admdll.dll C:\WINDOWS\system32
raddrv.dll C:\WINDOWS\system32
r_server.exe C:\WINDOWS\system32

/push
plz nich vergessen

Hallo m0rPh3uS,

1.) Downloade dir CCleaner, installiere ihn und navigiere zu Extras -> Programme deinstallieren -> Als Textdatei speichern.... Das Ergebnis hier posten! Anschließend noch alles bereinigen, wie in der Anleitung beschrieben!

2.) Lade F-Secure Blacklight in einen eigenen Ordner herunter, z.B. C:\Programme\Blacklight. Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
Klick "I accept the agreement", "next", "Scan". Wenn der Scan fertig ist beende Blacklight mit "Close". Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

3.) Poste dann ein frische HijackThis Log!

hi crusader.
thx für die hilfe
btw schön dass du wieder da bist, darf ich fragen weshalb du ne woche als "gesperrt" dagestanden warst?

1.) Install Log vom CCleaner:

Adobe Acrobat 5.0
Adobe AIR
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Photoshop Elements 2.0
Adobe Reader 8.1.3 - Deutsch
Adobe Shockwave Player
Agatha Christie - Das Böse unter der Sonne
Apple Software Update
ATI - Software Uninstall Utility
ATI Control Panel
ATI Display Driver
Autobahn Raser - World Challenge
Avery Zweckform DesignPro
Avira AntiVir Personal - Free Antivirus
Buchungssatzpauker-B IKR 2.30 (Shareware)
Cake Mania 3
CCleaner (remove only)
CD zum Buch
Compatibility Pack for the 2007 Office system
Corel Graphics Suite 11
Die Sims 2
Die Sims 2: Family Fun - Accessoires
Die Sims™ 2: Glamour-Accessoires
Digitale Bibliothek 4
DivX Codec
DivX Converter
DivX Player
DivX Web Player
Dream Day Wedding Married in Manhattan
Duke Nukem - Manhattan Project
DVD Shrink 3.2 deutsch
DVD-Cover v.1.5.1.6
DVDStyler v1.4
EasyRecovery Professional
FlashGet 1.9.6.1073
Gefeuert - Dein letzter Tag (Deinstallation)
Google Toolbar for Internet Explorer
GT Interactive - Driver
Hamachi 1.0.2.5
HijackThis 2.0.2
Home Sweet Home 2
Hysteria on Campus
ICQ6
Incredibles Frozone Screen Saver
Intel A/V Codecs V2.0
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 6
J2SE Runtime Environment 5.0 Update 9
JamFreewareDe
Java(TM) 6 Update 11
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
Kaspersky Online Scanner
LimeWire 4.18.8
Logitech SetPoint
LONDON TAXI
Macromedia Extension Manager
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Data Access Components KB870669
Microsoft Office Converter Pack
Microsoft Office Professional Edition 2003
Microsoft Office Publisher 2007
Microsoft Office XP Professional mit FrontPage
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.5)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB954430)
MyDVD
Nero 7 Premium
Notting Hill Gate 3A
OpenOffice.org 3.0
PhotoFiltre
PolyView 4.38
PowerDVD
QIP 2005 8080
QIP 8070 Jeak Edition
QuickTime
Q-Xpress Installer 1.1.9
RealPlayer
Realtek AC'97 Audio
Remote Administrator v2.1
Rolling Madness 3D v1.0
RouterControl 1.85
Schülerlexikon
ShowBiz
Skype™ 3.8
Sonic DLA
Sonic RecordNow DX
Sonic Update Manager
SPORE™
SUPERAntiSpyware Professional
Taxi Raser
TeamSpeak 2 RC2
The Pini Society
trueSpace2
Turbo Lister 2
VIA Platform Device Manager
Winamp
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 7
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
WinMathematik Aufgabensammlung Oberstufe
WinRAR
World of Warcraft

=> danach nach der anleitung vorgegangen, temp datein etc gereinigt, registry immer wieder bereinigt bis keine fehler mehr da warn.

2.) Blacklight
01/15/09 22:42:04 [Info]: BlackLight Engine 2.2.1092 initialized
01/15/09 22:42:04 [Info]: OS: 5.1 build 2600 (Service Pack 3)
01/15/09 22:42:04 [Note]: 7019 4
01/15/09 22:42:04 [Note]: 7005 0
01/15/09 22:42:17 [Note]: 7006 0
01/15/09 22:42:17 [Note]: 7011 400
01/15/09 22:42:17 [Note]: 7035 0
01/15/09 22:42:17 [Note]: 7026 0
01/15/09 22:42:17 [Note]: 7026 0
01/15/09 22:42:20 [Note]: FSRAW library version 1.7.1024
01/15/09 22:56:08 [Note]: 2000 1012
01/15/09 22:56:08 [Note]: 2000 1012
01/15/09 22:56:08 [Note]: 2000 1012
01/15/09 22:57:42 [Note]: 7007 0


3.)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:59:19, on 15.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Logitech\SetPoint\LBTWiz.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Logitech\SetPoint\LU\LULnchr.exe
C:\Programme\Logitech\SetPoint\LU\LogitechUpdate.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Hamachi\hamachi.exe
C:\Dokumente und Einstellungen\BENUTZER\Desktop\downloads\viren & co\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Bluetooth Connection Assistant] LBTWIZ.EXE -silent
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [QIP2005] C:\Programme\qip\qip.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - h**p://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - h**p://www.nutzwerk.de/control/NutzNavi.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe

--
End of file - 8666 bytes

Hallo m0rPh3uS,

Zitat:

darf ich fragen weshalb du ne woche als "gesperrt" dagestanden warst?

Sorry, sei nicht böse, aber darauf will ich nicht näher eingehen......

1.) Bitte folgende(s) Programm(e) deinstallieren:

Zitat:

Adobe Acrobat 5.0
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 6
J2SE Runtime Environment 5.0 Update 9
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
LimeWire 4.18.8 (wenn du in Zukunft sauber bleiben willst, dann deinstalliere das auch)

2.) Du hast insgesamt 3 Office Pakete installiert, bitte entscheide dich für eines, die anderen deinstallierst du bitte:

Zitat:

OpenOffice.org 3.0
Microsoft Office Professional Edition 2003
Microsoft Office XP Professional mit FrontPage

alles klar.
programme soweit deinstalliert, und für ein office paket entschieden