Hallo,

hoffe ich muss nicht all zu oft das Forum besuchen (wegen Problemen^^), aber hab seit gestern ein Problem.
Mein USB Stick hatte eine autorun.inf, hatte es geöffnet und dort stand wirres Zeug für mich. Also hatte ich es glöscht. Als ich später wieder mit dem Stick am PC war, war die autorun.inf wieder da. Hab mich dann als Admin eingelogt, um den Stick zu formatieren.
Dabei fiel mir auf das Spybot's Teatimer mir Warnungen über versuchte Registry Einträge gab (Winlogon, csrss.exe), welche ich nicht erlaubte. Dies wiederholte sich mehrmals, also hab ich es in die Blacklist hinzugefügt. Als ich die Log von Teatimer anschaute stellte ich fest, das ca. alle 6 sec. ein Eintragversuch stattfindet.
Nun möchte ich wissen ob da was ist (wird wohl sein Q_Q) und wie ich den USB Stick wieder sauber kriege.

Folgent noch paar Sachen:
1. autorun.inf (Text) falls ihr etwas damit anfangen könnt.

Zitat:

[autorun]
)fafkklwqlfﾔﾋ詞間ﾋ悁ﾏ車・ﾄ写ﾋﾗﾀﾋﾔﾏ詞ﾋﾔ詞・ldfASLFMdWLQ??DL?WQ??Fw萬ﾂﾀﾛﾔﾄﾀﾔﾇﾄﾀﾇﾕﾝﾖﾉﾋﾀﾇﾕﾖﾉﾙﾊﾇﾕﾝﾖﾉﾘﾋﾔﾛﾜﾌﾀﾔﾛﾄﾆ・磑鏸踈瞞ﾛﾄﾆ琿蓊ﾆﾝ萇ﾝﾖﾆﾀﾄﾇﾕﾝﾀ・ﾆﾝ粱蓊跪・蓙・・・ﾟﾔﾛﾄﾂﾋ踐鴉萵ﾝﾖﾉ萵ﾝ ﾖﾉ萵ﾝﾖﾉ萵顗粱・萵萵ﾝﾖﾉ璋鰲ﾖﾄﾉﾆﾀ・ﾔ飯粱菷萵ﾝﾖﾉ・ﾇﾝﾖﾉ
shellexecute=PRVA\\\\\\\\\\\\STRANA.exe
~瑶鉧ﾄﾀﾝﾖﾉ萵萵・・・踝髙・蔬鏆珎ﾖﾉﾄﾙﾀ鋏鱠籔ﾉﾋﾀﾝﾔﾛ萵ﾝﾔﾛ
shell\explore\command=PRVA\\\\\\\\\\\\STRANA.exe
&瑶鈺ﾀﾝ鱠璋鯊ﾋﾛﾝ粭ﾝ
open=PRVA\\\\\\\\\\STRANA.exe
%・鳰ﾝﾖﾉﾊﾕ瑟・
*icon=avion\\\\\\\\\\\\fasfsaffq.exe
:・・・ﾈﾜ・
action=Open folderto view files usingWindowsExplorer
>籵髙・・蓙隝蓙
USEAUTOPLAY=1
<・鳰襌・錏鴿・・
|ﾊﾘﾓﾙﾘﾅﾇﾙﾉﾘﾊﾇﾕﾃﾊﾇﾖﾓﾇﾙﾅﾕﾖﾓﾅ
shell\open\command=PRVA\\\\\\\\\\\\STRANA.exe
%ﾀﾔﾛﾋﾎﾄﾂﾋﾛﾔﾄﾆﾏﾀﾋﾝﾆﾔﾎﾛﾝﾂﾄﾛﾆ
Shell\open\command=PRVA\\\\\\\\\\\\STRANA.exe
*ﾀﾔﾛﾏﾎﾛﾄﾆﾋﾂﾝﾆﾔﾋﾀﾝﾛﾆﾄﾏ
icon=%SystemRoot%\system32\SHELL32.dll,4
!ﾟﾔﾂﾋﾊﾇﾙﾊﾕﾓﾌﾏﾋﾄﾆﾂﾜﾌﾄﾛﾂﾁﾏﾝﾄﾇﾕﾀﾊﾄﾕﾜﾋﾝﾖﾉﾆ

2. Spybot's Teatimer Log (nur ein Teil der versuchten Einträge, welche immer dieselben sind):

Zitat:

27.04.2010 00:49:14 Verweigert (based on user decision) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
......
27.04.2010 00:53:12 Verweigert (based on user decision) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
......
27.04.2010 01:44:38 Verweigert (based on user blacklist) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
27.04.2010 01:44:44 Verweigert (based on user blacklist) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
27.04.2010 15:20:48 Verweigert (based on user blacklist) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
27.04.2010 15:20:57 Verweigert (based on user blacklist) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
27.04.2010 15:21:04 Verweigert (based on user blacklist) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
27.04.2010 15:21:11 Verweigert (based on user blacklist) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!
27.04.2010 15:21:17 Verweigert (based on user blacklist) value "TaskMan" (new data: "C:\Dokumente und Einstellungen\"Admin"\csrss.exe") hinzugef・t in Winlogon!

3. Hijackthis Log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:22:30, on 27.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
F:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
F:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
F:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
F:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\wuauclt.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: ATLAS Toolbar - {3C6301ED-0F78-4AF2-8150-D9C052361A8E} - F:\Programme\ATLAS V14\ATLIECP.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - F:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ATLAS Toolbar - {3C6301ED-0F78-4AF2-8150-D9C052361A8E} - F:\Programme\ATLAS V14\ATLIECP.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "F:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Translate with ATLAS - F:\Programme\ATLAS V14\Atlscript.html
O8 - Extra context menu item: ATLAS Translation &Editor - F:\Programme\ATLAS V14\AtlscriptEdit.html
O9 - Extra button: ATLAS Translation - {B7707A72-4355-11D4-82BD-00000EBBEF8D} - F:\Programme\ATLAS V14\Atlscript.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: hxxp://*.update.microsoft.com
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - F:\Programme\CDBurnerXP\NMSAccessU.exe

--
End of file - 5241 bytes

Falls noch etwas gebraucht wird, dann bitte bescheid geben. Und schonmal ein Danke an alle, die sich Zeit für das Problem nehmen.
m(_ _)m

Hallo und

bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo und Danke für die Begrüßung und Antwort.

Nach dem Malwarebytes scheint die csrss.exe weg zu sein (hab gelöscht). Sie ist auch nicht mehr im Log von Spybot aktiv nach der Löschung.

Hier die Logs von Malwarebytes (hatte beim ersten Scan vergessen zu aktualisieren):

1. Malwarebytes (***=Administratorkonto, ****=Eingeschrängtes Konto):

Zitat:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Geladene Signaturen: 3930

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

27.04.2010 23:41:50
mbam-log-2010-04-27 (23-41-50).txt

Art des Suchlaufs: Vollst舅diger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 172904
Laufzeit: 29 Stunde(n), 47 Minute(n)

Infizierte Speichermodule: 0
Infizierte Registrierungsschl・sel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Eine Logdatei wurde im Logdatei-Verzeichnis gespeichert. 2

Infizierte Speichermodule:
Infizierte Speicherprozesse:

Infizierte Registrierungsschl・sel:
Infizierte Speicherprozesse:

Infizierte Registrierungswerte:
Infizierte Speicherprozesse:

Infizierte Dateiobjekte der Registrierung:
Infizierte Speicherprozesse:

Infizierte Verzeichnisse:
Infizierte Speicherprozesse:

Infizierte Dateien:
Infizierte Speicherprozesse:

Eine Logdatei wurde im Logdatei-Verzeichnis gespeichert.
C:\Dokumente und Einstellungen\***\csrss.exe (Trojan.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\****\csrss.exe (Trojan.Agent) -> Quarantined and deleted successfully

2. Malwarebytes:

Zitat:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Geladene Signaturen: 4044

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

28.04.2010 10:56:04
mbam-log-2010-04-28 (10-56-04).txt

Art des Suchlaufs: Vollst舅diger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 177951
Laufzeit: 28 Stunde(n), 25 Minute(n)

Infizierte Speichermodule: 0
Infizierte Registrierungsschl・sel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Eine Logdatei wurde im Logdatei-Verzeichnis gespeichert. 0

Infizierte Speichermodule:
Infizierte Speicherprozesse:

Infizierte Registrierungsschl・sel:
Infizierte Speicherprozesse:

Infizierte Registrierungswerte:
Infizierte Speicherprozesse:

Infizierte Dateiobjekte der Registrierung:
Infizierte Speicherprozesse:

Infizierte Verzeichnisse:
Infizierte Speicherprozesse:

Infizierte Dateien:
Infizierte Speicherprozesse:

Eine Logdatei wurde im Logdatei-Verzeichnis gespeichert.
Infizierte Speicherprozesse

1. OTL (OTL.txt)

Zitat:

OTL logfile created on: 28.04.2010 10:58:29 - Run 1
OTL by OldTimer - Version 3.2.3.0 Folder = F:\Tools
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 63,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 24,41 Gb Total Space | 16,87 Gb Free Space | 69,09% Space Free | Partition Type: NTFS
Drive D: | 13,08 Gb Total Space | 5,33 Gb Free Space | 40,73% Space Free | Partition Type: NTFS
Drive E: | 97,66 Gb Total Space | 5,31 Gb Free Space | 5,44% Space Free | Partition Type: NTFS
Drive F: | 97,72 Gb Total Space | 5,67 Gb Free Space | 5,80% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ***
Current User Name: ***
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - F:\Tools\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Java\jre6\bin\jucheck.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - F:\Programme\DAEMON Tools Lite\daemon.exe (DT Soft Ltd)
PRC - F:\Programme\CDBurnerXP\NMSAccessU.exe ()
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - F:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe (DeTeWe AG & Co.)
PRC - F:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe (DeTeWe AG & Co.)


========== Modules (SafeList) ==========

MOD - F:\Tools\OTL.exe (OldTimer Tools)


========== Win32 Services (SafeList) ==========

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (NMSAccessU) -- F:\Programme\CDBurnerXP\NMSAccessU.exe ()
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)


========== Driver Services (SafeList) ==========

DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (AtiHdmiService) -- C:\WINDOWS\system32\drivers\AtiHdmi.sys (ATI Research Inc.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation )
DRV - (CAPI20) -- C:\WINDOWS\system32\drivers\Capi20.sys (DeTeWe Berlin)
DRV - (ulisa) Telekom ISDN-Adapter (USB) -- C:\WINDOWS\system32\drivers\ulisa.sys (DeTeWe Berlin)
DRV - (DETEWECP) -- C:\WINDOWS\System32\drivers\detewecp.sys (DeTeWe Berlin)
DRV - (dtwmnic5) -- C:\WINDOWS\system32\drivers\dtwmnic5.sys (DeTeWe Berlin)
DRV - (FsVga) -- C:\WINDOWS\system32\drivers\fsvga.sys (Microsoft Corporation)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



IE - HKU\S-1-5-21-1614895754-1417001333-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-1614895754-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - HKLM\software\mozilla\Mozilla Firefox 3.0.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.04.14 19:06:14 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009.04.14 19:06:14 | 000,000,000 | ---D | M]

[2009.04.14 19:01:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2009.04.14 19:01:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\2wdiall7.default\extensions
[2010.04.27 01:31:44 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2008.05.23 18:03:44 | 000,147,456 | ---- | M] (NETDIMENSION CORPORATION) -- C:\Programme\Mozilla Firefox\plugins\NPMXENG.DLL
[2009.03.03 16:31:22 | 000,162,072 | ---- | M] (Tracker Software Products Ltd.) -- C:\Programme\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
[2008.03.15 15:56:14 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2008.10.13 20:34:40 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2008.02.19 16:40:48 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2006.12.03 17:59:22 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2006.11.17 13:19:24 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010.04.27 00:45:01 | 000,392,854 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 13566 more lines...
O2 - BHO: (ATLAS Toolbar) - {3C6301ED-0F78-4AF2-8150-D9C052361A8E} - F:\Programme\ATLAS V14\ATLIECP.DLL (FUJITSU LIMITED)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (PDF-XChange Viewer IE-Plugin) - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - F:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll (Tracker Software Products Ltd.)
O3 - HKLM\..\Toolbar: (ATLAS Toolbar) - {3C6301ED-0F78-4AF2-8150-D9C052361A8E} - F:\Programme\ATLAS V14\ATLIECP.DLL (FUJITSU LIMITED)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [SkyTel] C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKU\S-1-5-21-1614895754-1417001333-725345543-1003..\Run: [DAEMON Tools Lite] F:\Programme\DAEMON Tools Lite\daemon.exe (DT Soft Ltd)
O4 - HKU\S-1-5-21-1614895754-1417001333-725345543-1003..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\CAPIControl.lnk = File not found
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\HomeNet Control.lnk = File not found
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk = File not found
O4 - Startup: C:\Dokumente und Einstellungen\Tsang\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk = File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCAD = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1614895754-1417001333-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\S-1-5-21-1614895754-1417001333-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-1614895754-1417001333-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O8 - Extra context menu item: &Translate with ATLAS - F:\Programme\ATLAS V14\atlscript.html ()
O8 - Extra context menu item: ATLAS Translation &Editor - F:\Programme\ATLAS V14\AtlscriptEdit.html ()
O9 - Extra Button: ATLAS Translation - {B7707A72-4355-11D4-82BD-00000EBBEF8D} - F:\Programme\ATLAS V14\atlscript.html ()
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.04.14 15:03:49 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.04.27 23:08:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2010.04.27 23:07:31 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.27 23:07:29 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.27 23:07:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.04.27 01:24:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia
[2010.04.27 01:24:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
[2010.04.27 00:53:27 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2010.04.17 16:25:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TS3Client
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.04.28 10:26:06 | 000,980,112 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.28 10:26:06 | 000,421,232 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.28 10:26:06 | 000,405,888 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.28 10:26:06 | 000,076,894 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.28 10:26:06 | 000,063,470 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.04.28 10:21:55 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.04.28 10:21:54 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.28 00:47:17 | 006,815,744 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT
[2010.04.28 00:47:17 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini
[2010.04.27 23:07:34 | 000,000,557 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.27 00:45:01 | 000,392,854 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.04.26 18:54:45 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.04.17 11:39:13 | 000,000,684 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TeamSpeak 3 Client.lnk
[2010.03.29 15:24:58 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.03.29 15:24:46 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.04.27 23:07:34 | 000,000,557 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.17 11:39:13 | 000,000,684 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TeamSpeak 3 Client.lnk
[2010.03.13 12:13:45 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\libmySQL.dll
[2009.12.31 18:06:35 | 000,000,056 | ---- | C] () -- C:\WINDOWS\kgt2k.INI
[2009.10.18 11:07:29 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2009.05.05 11:43:41 | 000,000,487 | ---- | C] () -- C:\WINDOWS\Capictrl.INI
[2009.05.05 11:39:50 | 000,000,059 | ---- | C] () -- C:\WINDOWS\WINPHONE.INI
[2009.04.15 13:19:09 | 000,781,312 | ---- | C] () -- C:\WINDOWS\System32\RGSS102J.dll
[2009.04.15 13:19:09 | 000,778,752 | ---- | C] () -- C:\WINDOWS\System32\RGSS102E.dll
[2009.04.15 13:19:09 | 000,685,056 | ---- | C] () -- C:\WINDOWS\System32\RGSS103J.dll
[2009.04.15 13:19:08 | 000,771,584 | ---- | C] () -- C:\WINDOWS\System32\RGSS100J.dll
[2009.04.15 11:58:15 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2009.04.14 19:07:53 | 000,815,104 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009.04.14 19:07:53 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2009.04.14 18:56:54 | 000,717,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2009.04.14 17:40:41 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll

========== Alternate Data Streams ==========

@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5C321E34
< End of report >

1. OTL (Extras.txt)

Zitat:

OTL Extras logfile created on: 28.04.2010 10:58:29 - Run 1
OTL by OldTimer - Version 3.2.3.0 Folder = F:\Tools
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 63,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 24,41 Gb Total Space | 16,87 Gb Free Space | 69,09% Space Free | Partition Type: NTFS
Drive D: | 13,08 Gb Total Space | 5,33 Gb Free Space | 40,73% Space Free | Partition Type: NTFS
Drive E: | 97,66 Gb Total Space | 5,31 Gb Free Space | 5,44% Space Free | Partition Type: NTFS
Drive F: | 97,72 Gb Total Space | 5,67 Gb Free Space | 5,80% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ***
Current User Name: ***
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_USERS\S-1-5-21-1614895754-1417001333-725345543-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "F:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "F:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{0044AEC7-8924-4FB1-B4F7-FD14A5FEA9E4}" = RPGﾂｸｰﾙ2003 ﾗﾝﾀｲﾑﾊﾟｯｹｰｼﾞ
"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP5300" = Canon iP5300
"{12453E04-9738-4D16-8408-D726532C2C69}" = ASUS VGA Driver
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1A48AB8A-DA88-545F-9D3D-C481DC6C31A3}" = Catalyst Control Center Graphics Full Existing
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{257DEF70-A302-CF80-79FE-D8C72EB5E4D0}" = ccc-utility
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 13
"{2931F734-260D-4E83-87B3-A9FE8E873192}_is1" = PDF-XChange Shell Extentions
"{2CF6349E-8A3F-B726-F59A-8703FC8885E8}" = Catalyst Control Center Graphics Light
"{2FB2169F-04D8-FFC0-6A66-80EE652B93A5}" = Catalyst Control Center InstallProxy
"{302126A2-BB96-5931-6249-CAACA2C89AA1}" = ccc-core-static
"{33F7A957-A66D-45A1-BADF-6576083B14E2}" = RPGツクール2000 ランタイムパッケージ
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{394BE3D9-7F57-4638-A8D1-1D88671913B7}" = Microsoft AppLocale
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{43602F34-1AA3-44FB-AEB2-D08C2C73743F}" = Paint.NET v3.36
"{5B9EFDF8-AC4F-CA21-9A8C-7534D49E7EE9}" = Catalyst Control Center HydraVision Full
"{6652750B-AA69-49B7-9D09-C0A28B6FFC9F}" = ATLAS Translation Standard V14.0 Trial Version
"{6AC34E29-82A8-42E4-916C-29F594B9DD03}" = Eumex 504PC SE
"{71929EC1-FDB2-4A67-AAAD-936E4539FA84}_is1" = Driver Sweeper 2.1.0
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{855AA20A-CA81-7EF1-1936-AE4AA3DC4BEA}" = ccc-core-preinstall
"{8D273DE5-ABFA-4BD0-A9D7-EE9C971438C4}_is1" = PDF-Viewer
"{8D7133DE-27D2-47E5-B248-4180278D32AA}" = Catalyst Control Center - Branding
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BB86C70-E1EF-7457-46DC-0093B5269458}" = ATI Catalyst Install Manager
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{A9867BC9-0EAD-BAC6-C320-4FBC2E127643}" = Catalyst Control Center Core Implementation
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{D0E6B5D9-6737-AF3E-7BE5-7327DD6B6002}" = Catalyst Control Center Graphics Previews Common
"{deb7008b-681e-4a4a-8aae-cc833e8216ce}.sdb" = Microsoft Windows Application Compatibility Database
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = AusLogics Disk Defrag
"{E4C82E4B-CD9E-27ED-BC6A-E099DE3EC3ED}" = CCC Help English
"{E7231089-60AD-CD67-8CC0-B0F415E2A32A}" = Catalyst Control Center Graphics Full New
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FEEA1915-314F-4406-8BCF-B11412BE936F}" = RagnarokOnline
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon iP5300 Benutzerregistrierung" = Canon iP5300 Benutzerregistrierung
"CCleaner" = CCleaner (remove only)
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Driver Cleaner Pro" = DH Driver Cleaner Professional Edition
"Free Video to Mp3 Converter_is1" = Free Video to Mp3 Converter version 3.1
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MatrixEngine 1.0" = MatrixEngine
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Mozilla Firefox (3.0.8)" = Mozilla Firefox (3.0.8)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"QuicktimeAlt_is1" = QuickTime Alternative 2.8.0
"RagnaWatch 2_is1" = RagnaWatch 2.8.1 LCDlog
"RealAlt_is1" = Real Alternative 1.9.0
"RGSS-RTP Standard_is1" = RGSS-RTP Standard
"SpywareBlaster_is1" = SpywareBlaster 4.2
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"The KMPlayer" = The KMPlayer (remove only)
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 0.9.9
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.6
"WinRAR archiver" = WinRAR
"Xvid_is1" = Xvid 1.2.1 final uninstall

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 17.04.2010 10:28:28 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ts3client_win32.exe, Version 1.0.0.0, fehlgeschlagenes
Modul ts3client_win32.exe, Version 1.0.0.0, Fehleradresse 0x001fb054.

Error - 20.04.2010 18:19:45 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ragstate.exe, Version 2.1.2.1, fehlgeschlagenes
Modul ragstate.exe, Version 2.1.2.1, Fehleradresse 0x00041635.

Error - 21.04.2010 13:18:27 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ts3client_win32.exe, Version 1.0.0.0, fehlgeschlagenes
Modul ts3client_win32.exe, Version 1.0.0.0, Fehleradresse 0x001fb054.

Error - 21.04.2010 18:34:02 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul browseui.dll, Version 6.0.2900.5512, Fehleradresse 0x000035b8.

Error - 21.04.2010 18:34:04 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.

Error - 22.04.2010 06:21:05 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeituberschreitung
zuruckgegeben. .

Error - 22.04.2010 16:20:45 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ragstate.exe, Version 2.1.2.1, fehlgeschlagenes
Modul ragstate.exe, Version 2.1.2.1, Fehleradresse 0x00090606.

Error - 23.04.2010 06:15:11 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeituberschreitung
zuruckgegeben. .

Error - 25.04.2010 11:50:14 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ts3client_win32.exe, Version 1.0.0.0, fehlgeschlagenes
Modul ts3client_win32.exe, Version 1.0.0.0, Fehleradresse 0x001fb054.

Error - 27.04.2010 09:20:44 | Computer Name = *** | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeituberschreitung
zuruckgegeben. .

[ System Events ]
Error - 27.02.2010 11:25:15 | Computer Name = *** | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhangig,
der aufgrund folgenden Fehlers nicht gestartet wurde: %%31

Error - 27.02.2010 11:25:15 | Computer Name = *** | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhangig,
der aufgrund folgenden Fehlers nicht gestartet wurde: %%31

Error - 27.02.2010 11:25:15 | Computer Name = *** | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
AFD avgio avipbb Fips IPSec MRxSmb NetBIOS NetBT Processor RasAcd Rdbss ssmdrv Tcpip

Error - 27.02.2010 11:25:23 | Computer Name = *** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 27.02.2010 11:25:32 | Computer Name = *** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {BA126AE5-2166-11D1-B1D0-00805FC1270E}

Error - 27.02.2010 11:37:08 | Computer Name = *** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {BA126AE5-2166-11D1-B1D0-00805FC1270E}

Error - 27.02.2010 11:37:19 | Computer Name = *** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {BA126AE5-2166-11D1-B1D0-00805FC1270E}

Error - 27.02.2010 11:37:26 | Computer Name = *** | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 27.04.2010 17:47:27 | Computer Name = *** | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeuberwachung
wurde angehalten.

Error - 27.04.2010 18:28:17 | Computer Name = *** | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeuberwachung
wurde angehalten.


< End of report >

Hoffe das hilft. Hab den Administrator- und PC-Namen editiert, falls benötigt bitte bescheid geben.

Und kann ich mein USB Stick formatieren ohne die autorun.inf auszulösen oder ist es verloren?
Und das Festplattensymbol der USB Stick hat sich in ein Ordnersymbol verwandelt seit autorun.inf, falls dies wichtig ist.

MfG
Dechigel

Sieht ok aus. Bis auf die Wechseldatenträger und der autorun.inf Geschichte sind keine Probleme mehr oder?

Zitat:

Und kann ich mein USB Stick formatieren ohne die autorun.inf auszulösen oder ist es verloren?

Es gibt da so Tools wie den Flash Disinfector. Einfach die mit der autorun.inf infizierten Wechseldatenträger (USB-Sticks und ext. Platten) anschließen und das Tool durchlaufen lassen.

Vorher am besten das Übel bei der Wurzel packen und die Autorun-Funktion wie folgt deaktivieren:

Autostart auf allen Laufwerken deaktivieren
Ich empfehle, den Autostart grundsätzlich zu deaktivieren. Falls Du einen verseuchten Stick dransteckst und der Virenscanner erkennt das nicht hast Du den Salat.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist der Autostart auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Jup bis auf Wechseldatenträger und der autorun.inf gabs nichts mehr. Und der Stick ist auch wieder OK. Vielen Dank. Hoffe das war das letzte mal das ich dieses Forum besuchen muss^^.

MfG
Dechigel