Hey, habe die CD gebrannt und von ihr gebootet, den Eintrag registry tools gibt es nicht unter programs, ich kann aber regedit ausführen, nur da muss ich ja auf c: (hkey_localmachine, datei, struktur laden ) zugreifen, soweit richtig ?

Ja, Struktur laden ist richtig

Ok, danke.
Die userinit hat genau den richtigen Pfad, wie du ihn mir oben geschrieben hast.

Fährt Windows wieder normal hoch?

Wenn nicht, prüf auch bitte ob bei diesem hier

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\userinit.exe

der Eintrag debugger weg ist.

Du hast doch über Struktur laden die Registry-Datei aus dem installierten Windows genommen oder?

Nein, der Pfad war so wie er oben steht, deswegen muss ich da ja auch nichts verändern. Windows stoppt immer noch beim Desktop und kehrt zurück zum Login Bildschirm.

Edit: Ja habe Struktur von C: geladen, was genau heisst den Eintrag debgugger ? bzw. ob der weg is ?

Hatte nen Edit eingefügt

Ok da steht folgendes:

Standard - Wert nicht gesetzt
Debugger - winzhpack.exe

Zitat:

Debugger - winzhpack.exe

Den Value Debugger musst Du löschen! Probier dann einen Neustart von Windows.

Ok Windows geht schonmal wieder :-)
Nun die log file:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-07-15.01 - Homer 15.07.2010  21:07:46.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3326.2846 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Homer\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Homer\Desktop\CFScript.txt

FILE ::
"c:\dokumente und einstellungen\LocalService\Anwendungsdaten\qvjsge.dat"
"c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\qvjsge.dat"
"c:\windows\system32\winzhpack.exe"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Homer\Lokale Einstellungen\Anwendungsdaten\cyelthure
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\qvjsge.dat
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\qvjsge.dat
c:\windows\system32\winzhpack.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-06-16 bis 2010-07-16  ))))))))))))))))))))))))))))))
.

2010-07-15 20:15 . 2010-07-15 20:15	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2010-07-15 19:10 . 2010-07-15 19:10	--------	d-----w-	c:\windows\system32\xircom
2010-07-15 19:10 . 2010-07-15 19:10	--------	d-----w-	c:\windows\system32\wbem\snmp
2010-07-15 19:10 . 2010-07-15 19:10	--------	d-----w-	c:\programme\microsoft frontpage
2010-07-15 16:23 . 2010-07-15 16:23	--------	d-----w-	C:\_OTL
2010-07-13 08:54 . 2010-07-13 08:54	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-07-13 08:53 . 2010-04-12 15:29	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-07-11 02:38 . 2010-07-12 22:25	--------	d-----w-	c:\programme\SpeedFan

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-16 18:16 . 2004-08-04 12:00	80104	----a-w-	c:\windows\system32\perfc007.dat
2010-07-16 18:16 . 2004-08-04 12:00	448470	----a-w-	c:\windows\system32\perfh007.dat
2010-07-16 18:14 . 2010-01-15 03:48	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\GameTracker
2010-07-15 17:48 . 2009-09-13 00:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-15 03:31 . 2009-05-29 00:30	--------	d-----w-	c:\programme\Mozilla Thunderbird
2010-07-15 02:48 . 2010-01-04 21:53	--------	d-----w-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\vlc
2010-07-15 02:29 . 2009-12-02 04:54	--------	d-----w-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\Skype
2010-07-14 07:30 . 2009-05-29 01:19	--------	d-----w-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\UseNeXT
2010-07-13 17:09 . 2010-03-24 23:23	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-13 08:54 . 2010-07-13 08:54	503808	----a-w-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4f64597b-n\msvcp71.dll
2010-07-13 08:54 . 2010-07-13 08:54	499712	----a-w-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4f64597b-n\jmc.dll
2010-07-13 08:54 . 2010-07-13 08:54	348160	----a-w-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4f64597b-n\msvcr71.dll
2010-07-13 08:54 . 2010-07-13 08:54	61440	----a-w-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-594fe5bf-n\decora-sse.dll
2010-07-13 08:54 . 2010-07-13 08:54	12800	----a-w-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-594fe5bf-n\decora-d3d.dll
2010-07-13 08:53 . 2009-11-30 22:39	--------	d-----w-	c:\programme\Java
2010-07-11 21:23 . 2010-07-11 21:23	335872	----a-r-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\Microsoft\Installer\{37F6190F-8A86-4B19-86A3-5A59BEA62823}\oo_unerase_9C3BE5C3A3C646DABE40B79DE57BC3BB.exe
2010-07-11 21:23 . 2010-07-11 21:23	335872	----a-r-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\Microsoft\Installer\{37F6190F-8A86-4B19-86A3-5A59BEA62823}\ARPPRODUCTICON.exe
2010-07-11 21:23 . 2010-01-28 17:21	--------	d-----w-	c:\programme\OO Software
2010-07-06 17:20 . 2009-05-29 00:14	1	----a-w-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-07-06 17:20 . 2009-05-29 00:14	--------	d-----w-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\OpenOffice.org2
2010-07-05 15:25 . 2010-01-04 21:54	--------	d-----w-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\dvdcss
2010-06-23 03:59 . 2009-05-28 23:58	--------	d-----w-	c:\programme\TowerGaming
2010-06-16 17:33 . 2009-06-02 03:07	--------	d-----w-	c:\programme\Full Tilt Poker
2010-06-10 22:02 . 2009-05-29 15:58	--------	d-----w-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\Winamp
2010-06-03 17:07 . 2009-05-28 22:07	--------	d-----w-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\teamspeak2
2010-05-27 16:49 . 2009-05-28 22:11	--------	d-----w-	c:\dokumente und einstellungen\Homer\Anwendungsdaten\skypePM
2010-05-17 21:58 . 2009-05-28 23:36	--------	d-----w-	c:\programme\Holdem Manager
2010-05-04 17:14 . 2008-04-23 04:16	832512	----a-w-	c:\windows\system32\wininet.dll
2010-05-04 17:14 . 2008-06-20 07:57	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-05-04 17:14 . 2008-06-20 07:56	17408	----a-w-	c:\windows\system32\corpol.dll
2010-05-02 08:05 . 2008-04-14 05:23	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-29 13:39 . 2010-03-24 23:23	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-03-24 23:23	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-25 22:27 . 2009-05-28 20:44	19624	----a-w-	c:\dokumente und einstellungen\Homer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-04-20 05:29 . 2008-04-14 05:50	285696	----a-w-	c:\windows\system32\atmfd.dll
.

------- Sigcheck -------

[-] 2008-06-20 . B4D6D344EACDA356D4AAAC7757955F0C . 407040 . . [5.1.2600.5582] . . c:\windows\system32\netlogon.dll

[-] 2008-06-20 07:56 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
.
(((((((((((((((((((((((((((((   SnapShot@2010-07-15_18.15.31   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-16 18:14 . 2010-07-16 18:14	16384              c:\windows\Temp\Perflib_Perfdata_69c.dat
+ 2010-07-15 20:51 . 2010-07-15 20:51	16384              c:\windows\Temp\Perflib_Perfdata_5bc.dat
+ 2010-07-15 20:19 . 2010-07-15 20:19	16384              c:\windows\Temp\Perflib_Perfdata_5b0.dat
+ 2010-07-16 04:17 . 2010-07-16 04:17	16384              c:\windows\Temp\Perflib_Perfdata_5a8.dat
+ 2010-07-16 09:53 . 2010-07-16 09:53	16384              c:\windows\Temp\Perflib_Perfdata_59c.dat
- 2004-08-04 12:00 . 2010-07-15 18:13	67312              c:\windows\system32\perfc009.dat
+ 2004-08-04 12:00 . 2010-07-16 18:15	67312              c:\windows\system32\perfc009.dat
- 2004-08-04 12:00 . 2010-07-15 18:13	432356              c:\windows\system32\perfh009.dat
+ 2004-08-04 12:00 . 2010-07-16 18:15	432356              c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2009-04-02 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2009-08-22 5148672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"nwiz"="nwiz.exe" [2009-04-30 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"TrueImageMonitor.exe"="c:\programme\TrueImageHome\TrueImageMonitor.exe" [2009-10-31 5140952]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2009-10-31 362032]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2010-05-04 124928]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Spb Backup Sync.lnk - c:\programme\Spb Backup\SpbBackupSync.exe [2009-9-2 389120]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 05:52	15360	----a-w-	c:\windows\system32\ctfmon.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Anno 1701\\Anno1701.exe"=
"c:\\Programme\\Zoo Tycoon 2\\zt.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Dokumente und Einstellungen\\Homer\\Eigene Dateien\\TeamSpeak-Spam\\Spamer.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\ANNO 1404\\tools\\Anno4Web.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\PointPoker\\jre\\bin\\javaw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Valve\\hlds.exe"=
"c:\\Programme\\Valve\\hl.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Football Manager 2010\\fm.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 RRamdisk;Ramdisk Driver;c:\windows\system32\drivers\rramdisk.sys [29.05.2009 02:55 10368]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.05.2009 15:33 721904]
R0 tdrpman258;Acronis Try&Decide and Restore Points filter (build 258);c:\windows\system32\drivers\tdrpm258.sys [21.11.2009 01:42 911680]
R2 afcdpsrv;Acronis Nonstop Backup service;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [21.11.2009 01:43 2480048]
R2 GS In-Game Service;GS In-Game Service;c:\programme\GameTracker\GSInGameService.exe [15.01.2010 05:48 1643872]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [16.04.2010 19:26 246520]
R2 pgsql-8.2;PostgreSQL Database Server 8.2;c:\programme\PostgreSQL\8.2\bin\pg_ctl.exe runservice -w -N "pgsql-8.2" -D "c:\programme\PostgreSQL\8.2\data\" --> c:\programme\PostgreSQL\8.2\bin\pg_ctl.exe runservice -w -N pgsql-8.2 [?]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [21.11.2009 01:43 160288]
R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [14.01.2008 12:06 21632]
S2 ASKUpgrade;ASKUpgrade;c:\programme\AskBarDis\bar\bin\ASKUpgrade.exe [22.07.2009 04:45 234888]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [28.05.2009 23:53 1684736]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
vvdsvc	REG_MULTI_SZ   	vvdsvc
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
FF - ProfilePath - c:\dokumente und einstellungen\Homer\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\FFContextMenuY\components\FFContextMenu.dll
FF - plugin: c:\dokumente und einstellungen\Homer\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npyaxmpb.dll
FF - plugin: c:\windows\system32\C2MP\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-16 20:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spua.sys >>UNKNOWN [0x8B2C3938]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb810cf28
\Driver\ACPI -> ACPI.sys @ 0xb7e65cb8
\Driver\atapi -> atapi.sys @ 0xb7dfab40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Bluetooth-Gerät (PAN) #4 -> SendCompleteHandler -> NDIS.sys @ 0xb7d03bb0
 PacketIndicateHandler -> NDIS.sys @ 0xb7cf2a0d
 SendHandler -> NDIS.sys @ 0xb7d06b40
user & kernel MBR OK 

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Cryptography\RNG*]
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3412)
c:\windows\system32\msi.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\RTHDCPL.EXE
c:\programme\Microsoft ActiveSync\wcescomm.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\progra~1\MICROS~1\rapimgr.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\PostgreSQL\8.2\bin\pg_ctl.exe
c:\programme\PostgreSQL\8.2\bin\postgres.exe
c:\programme\PostgreSQL\8.2\bin\postgres.exe
c:\programme\PostgreSQL\8.2\bin\postgres.exe
c:\programme\PostgreSQL\8.2\bin\postgres.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-16  20:19:46 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-07-16 18:19
ComboFix2.txt  2010-07-15 18:16

Vor Suchlauf: 14 Verzeichnis(se), 834.381.578.240 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 834.357.809.152 Bytes frei

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - D3D5E25185804A3FB8B6533D434508CC
         

Hey, grad hat mein Antivir noch folgendes ausgespuckt:
In der Datei 'C:\System Volume Information\_restore{546E2CFD-F7D9-46AE-B22F-936C3E0072FA}\RP1\A0000033.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Dann bin ich wohl doch nocht nicht übern Berg ? :-)

Ich brauch die beiden Quarantäneordner von Combofix und OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Ordner C:\Qoobox in eine Datei zippen
4.) Beide erstellten ZIP-Dateien hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
5.) Wenns erfolgreich war Bescheid sagen
6.) Erst dann wieder den Virenscanner einschalten

Zitat:

In der Datei 'C:\System Volume Information\_restore{546E2CFD-F7D9-46AE-B22F-936C3E0072FA}\RP1\A0000033.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.

Ich hab noch nicht gesagt dass wir fertig sind! Außerdem ist der Fund "nur" in der Systemwiederherstellung, wenn Du diese deaktivierst, ist das weg.

Habe die beiden Files soeben hochgeladen.
Antivir ist noch aus.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Joa übern Berg heisst ja nicht, das es erledigt ist :-)

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 00:20:54 on 18.07.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.5.10

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"PhysX.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\PhysX.cpl
"vp6dec_settings.cpl" - ? - C:\WINDOWS\system32\vp6dec_settings.cpl  (File found, but it contains no detailed information)
"vp7dec_settings.cpl" - ? - C:\WINDOWS\system32\vp7dec_settings.cpl  (File found, but it contains no detailed information)

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"Acronis Try&Decide and Restore Points filter (build 258)" (tdrpman258) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tdrpm258.sys
"afcdp" (afcdp) - "Acronis" - C:\WINDOWS\System32\DRIVERS\afcdp.sys
"Antwort für Verbindungsschicht-Topologieerkennung" (rspndr) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\rspndr.sys
"atksgt" (atksgt) - ? - C:\WINDOWS\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)
"BCM42RLY" (BCM42RLY) - "Broadcom Corporation" - C:\WINDOWS\System32\BCM42RLY.SYS
"Bluetooth-Porttreiber" (BTHPORT) - "Microsoft Corporation" - C:\WINDOWS\System32\Drivers\BTHport.sys
"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"giveio" (giveio) - ? - C:\WINDOWS\System32\giveio.sys  (File found, but it contains no detailed information)
"GTNDIS5 NDIS Protocol Driver" (GTNDIS5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINDOWS\system32\GTNDIS5.SYS
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"Linksys Wireless-G PCI Adapter Driver" (RT2500) - "Ralink Technology Inc." - C:\WINDOWS\System32\DRIVERS\RT2500.sys
"lirsgt" (lirsgt) - ? - C:\WINDOWS\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Ramdisk Driver" (RRamdisk) - "gavotte" - C:\WINDOWS\System32\DRIVERS\rramdisk.sys
"Service for Realtek AC97 Audio (WDM)" (ALCXWDM) - ? - C:\WINDOWS\System32\drivers\ALCXWDM.SYS  (File not found)
"speedfan" (speedfan) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\speedfan.sys
"sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)
"truecrypt" (truecrypt) - "TrueCrypt Foundation" - C:\WINDOWS\System32\drivers\truecrypt.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"Windows Driver Foundation - User-mode Driver Framework Platform Driver" (WudfPf) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\WudfPf.sys
"Windows Driver Foundation - User-mode Driver Framework Reflector" (WudfRd) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\wudfrd.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
>{22d6f312-b0f6-11d0-94ab-0080c74c7e95} "Windows Media Player" - "Microsoft Corporation" - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{0561EC90-CE54-4f0c-9C55-E226110A740C} "Haali Column Provider" - ? - C:\WINDOWS\system32\mmfinfo.dll  (File found, but it contains no detailed information)
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{C539A15B-3AF9-4c92-B771-50CB78F5C751} "Acronis Secure Zone" - "Acronis" - C:\Programme\TrueImageHome\tishell.dll
{C539A15A-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Context Menu Extension" - "Acronis" - C:\Programme\TrueImageHome\tishell.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{62AE1F9A-126A-11D0-A14B-0800361B1103} "Directory Context Menu Verbs" - "Microsoft Corporation" - C:\WINDOWS\system32\dsuiext.dll
{0D45D530-764B-11d0-A1CA-00AA00C16E65} "Directory Property UI" - "Microsoft Corporation" - C:\WINDOWS\system32\dsuiext.dll
{0561EC90-CE54-4f0c-9C55-E226110A740C} "Haali Column Provider" - ? - C:\WINDOWS\system32\mmfinfo.dll  (File found, but it contains no detailed information)
{5574006C-28F5-4a65-A28C-74DE6BFBE0BB} "Haali Matroska Shell Property Page" - ? - C:\WINDOWS\system32\mmfinfo.dll  (File found, but it contains no detailed information)
{327669A0-59A7-4be9-B99E-1C9F3A57611A} "Haali Matroska Thumbnail Extractor" - ? - C:\WINDOWS\system32\mmfinfo.dll  (File found, but it contains no detailed information)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{49BF5420-FA7F-11cf-8011-00A0C90A8F78} "Mobiles Gerät" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Wcesview.dll
{D9872D13-7651-4471-9EEE-F0A00218BEBB} "Multiscan" - ? -   (File not found | COM-object registry key not found)
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{35786D3C-B075-49b9-88DD-029876E11C01} "Portable Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshext.dll
{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} "Portable Devices Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshext.dll
{640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll
{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7} "SafeEraseObj Class" - "O&O Software GmbH" - C:\Programme\OO Software\SafeErase\oosesh.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll
{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} "WMP Add To Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{8DD448E6-C188-4aed-AF92-44956194EB1F} "WMP Burn Audio CD Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} "WMP Play As Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad )-----
{AAA288BA-9A4C-45B0-95D7-94D524869DB5} "WPDShServiceObj Class" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshserviceobj.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{30528230-99f7-4bb4-88d8-fa1d4f56a2ab} "Installation Support" - "Yahoo! Inc." - C:\Programme\Yahoo!\Common\Yinsthelper.dll / C:\Programme\Yahoo!\Common\Yinsthelper.dll
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{D4003189-95B1-4A2F-9A87-F2B03665960D} "VodClient Control Class" - ? - C:\WINDOWS\system32\nagasoft\vjocx.dll / hxxp://www.vexcast.com/download/vexcast.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\INetRepl.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "Create Mobile Favorite" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\INetRepl.dll
"PartyPoker.com" - ? - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Ask Toolbar" - "Ask.com" - C:\Programme\AskBarDis\bar\bin\askBar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Spb Backup Sync.lnk" - ? - C:\Programme\Spb Backup\SpbBackupSync.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Homer\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"H/PC Connection Agent" - "Microsoft Corporation" - "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
"Rainlendar2" - ? - C:\Programme\Rainlendar2\Rainlendar2.exe
"SpybotSD TeaTimer" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acronis Scheduler2 Service" - "Acronis" - "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"AdobeCS4ServiceManager" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"TrueImageMonitor.exe" - "Acronis" - C:\Programme\TrueImageHome\TrueImageMonitor.exe

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Acronis Nonstop Backup service" (afcdpsrv) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"ASKUpgrade" (ASKUpgrade) - ? - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe  (File found, but it contains no detailed information)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Automatische Updates" (wuauserv) - "Microsoft Corporation" - C:\WINDOWS\system32\wuauserv.dll
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Acresso Software Inc." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"GS In-Game Service" (GS In-Game Service) - "ClanServers Hosting LLC" - C:\Programme\GameTracker\GSInGameService.exe
"ICQ Service" (ICQ Service) - ? - C:\Programme\ICQ6Toolbar\ICQ Service.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZinw12.dll
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZipm12.dll
"Portable Media Serial Number Service" (WmdmPmSN) - "Microsoft Corporation" - C:\WINDOWS\system32\mspmsnsv.dll
"PostgreSQL Database Server 8.2" (pgsql-8.2) - "PostgreSQL Global Development Group" - C:\Programme\PostgreSQL\8.2\bin\pg_ctl.exe
"VJVodClientServices" (vvdsvc) - ? - C:\WINDOWS\system32\nagasoft\vjocx.dll
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Driver Foundation - User-mode Driver Framework" (WudfSvc) - "Microsoft Corporation" - C:\WINDOWS\System32\WUDFSvc.dll
"Windows Installer" (MSIServer) - "Microsoft Corporation" - C:\WINDOWS\system32\msiexec.exe
"Windows Media Player-Netzwerkfreigabedienst" (WMPNetworkSvc) - "Microsoft Corporation" - C:\Programme\Windows Media Player\WMPNetwk.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" (SharedAccess) - "Microsoft Corporation" - C:\WINDOWS\System32\ipnathlp.dll
"Windows-Zeitgeber" (W32Time) - "Microsoft Corporation" - C:\WINDOWS\system32\w32time.dll

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63} "Drahtlos" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll
{e437bc1c-aa7d-11d2-a382-00c04f991e27} "IP-Sicherheit" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll
{426031c0-0b47-4852-b0ca-ac3d37bfcb39} "QoS-Paketplaner" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll
{42B5FAAE-6536-11d2-AE5A-0000F87571E3} "Skripts" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru