Malwarebytes Anti-Malware Runtime error 372

HaZa_Due · 27.07.2010, 06:01

Beim Versuch Anti-Malware zu starten, tritt folgende Fehler Meldung auf:

Run-time error `372´:

Failed to load `vbalGrid´from vbalsgrid6.ocx. Your version of vbalsgrid6.ocx may be outdated. Make sure you are using the version of the control that was provided with your application.

Download kam vom hier im forum gelieferten link und Installationsverzeichnis ist nach Vorgabe. Woran liegts?

Larusso · 27.07.2010, 17:08

Deinstalliere Malwarebytes

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
Lasse es online updaten (Reiter Aktualisierungen), sofern sich das Programm bereits auf dem Rechner befand.
Aktiviere "Quick-Scan durchführen" => Scannen.
Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
Bei Funden in C:\System Volume Information den Haken entfernen.
Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
Er könnte jedoch trotz Malware noch gebraucht werden.
Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Entferne Auswahl".
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

HaZa_Due · 27.07.2010, 18:53

Hallo

ich hatte Anti-Malware bereits wie im FAQ/Anleitungen thread beschrieben, versucht zu installieren und zum laufen zu bringen. Gerade nochmal neuer Versuch. Letzte Installation deinstalliert (mit selber Fehlermeldung! RT error 372, bei der Deinstallation) und nun nochmal. Download auf den desktop, mbam-setup.exe von dort gestartet (WinXP, Doppelklick) und dann nach dem Aufforderungsbildschirm mit den beiden ticks für update und Programmstart gesetzt, gabs wieder 2 mal hintereinander RT error 372 und Abbruch.

Edit: Also nach anklicken des "Fertigstellen" Buttons, wo dann wohl update und Programmstart nachfolgen "sollten".

Larusso · 28.07.2010, 09:21

Hy, soviel ich weiß müsste sich eine mbamerror.txt auf deiner Systemplatte ( C: ) befinden. kannst Du mir den Inhalt einmal posten

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

HaZa_Due · 28.07.2010, 19:09

Hallo

Eine mbamerror.txt wurde offensichtlich nicht erstellt, oder lässt sich nicht auffinden. Eine der vielen "deaktivierten" Systemkomponenten und Dienste, ist leider auch die Suche Funktion im Explorer.

Hier nun das OTL log mit dem custom scan. Eine Extra log Datei wurde nicht ausgespuckt (Quickscan??) Programme waren alle beendent, bis auf die üblichen residents von Avira und Spybot (teatimer), ect.

Als Referenz zum Werdegang meines Systemproblems:

http://www.trojaner-board.de/88609-h...e-es-sein.html

Code:

ATTFilter

OTL logfile created on: 28.07.2010 19:33:49 - Run 7
OTL by OldTimer - Version 3.2.9.1     Folder = C:\Dokumente und Einstellungen\DUMMY\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
767,00 Mb Total Physical Memory | 535,00 Mb Available Physical Memory | 70,00% Memory free
3,00 Gb Paging File | 2,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): D:\pagefile.sys 2000 2000 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 3,02 Gb Total Space | 0,30 Gb Free Space | 9,87% Space Free | Partition Type: FAT32
Drive D: | 149,05 Gb Total Space | 3,64 Gb Free Space | 2,44% Space Free | Partition Type: NTFS
Drive E: | 278,79 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: SCHROTTBOX
Current User Name: DUMMY
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Minimal
Quick Scan
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\DUMMY\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\WINDOWS\Runservice.exe ()
PRC - D:\Programme2\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - D:\Programme2\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - D:\Programme2\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - D:\Programme2\CDBurnerXP\NMSAccessU.exe ()
PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\vsnpstd2.exe ()
PRC - C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (w*w.cmedia.com.tw))
PRC - C:\WINDOWS\system32\tcpsvcs.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\DUMMY\Desktop\OTL.exe (OldTimer Tools)
MOD - D:\Programme2\Tracker Software\Shell Extensions\XCShInfo.dll (Tracker Software Products Ltd.)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\netui1.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\netui0.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\ntlanman.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\netrap.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\mscms.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\davclnt.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\drprov.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\xpsp2res.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (LicCtrlService) -- C:\WINDOWS\Runservice.exe ()
SRV - (AntiVirService) -- D:\Programme2\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- D:\Programme2\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (NMSAccessU) -- D:\Programme2\CDBurnerXP\NMSAccessU.exe ()
SRV - (usnjsvc) -- C:\Programme\Windows Live\Messenger\usnsvc.exe (Microsoft Corporation)
SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
SRV - (SimpTcp) -- C:\WINDOWS\system32\tcpsvcs.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- D:\Programme2\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (SCDEmu) -- C:\WINDOWS\System32\drivers\scdemu.sys (PowerISO Computing, Inc.)
DRV - (SSHDRV60) -- C:\WINDOWS\system32\drivers\SSHDRV60.sys ()
DRV - (hwinterface) -- C:\WINDOWS\system32\drivers\hwinterface.sys (Logix4u)
DRV - (mcdbus) -- C:\WINDOWS\system32\drivers\mcdbus.sys (MagicISO, Inc.)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (avmeject) -- C:\WINDOWS\system32\drivers\avmeject.sys (AVM Berlin)
DRV - (speedfan) -- C:\WINDOWS\system32\speedfan.sys (Windows (R) 2000 DDK provider)
DRV - (drhard) -- C:\WINDOWS\System32\drivers\drhard.sys (****)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (SISNIC) -- C:\WINDOWS\system32\drivers\sisnic.sys (SiS Corporation)
DRV - (snpstd2) -- C:\WINDOWS\system32\drivers\snpstd2.sys ()
DRV - (sisagp) -- C:\WINDOWS\system32\DRIVERS\SISAGPX.sys (Silicon Integrated Systems Corporation)
DRV - (cmpci) C-Media PCI Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\cmaudio.sys (C-Media Inc)
DRV - (ds1) YAMAHA DS-XG Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\Ds1.sys (Yamaha Corporation)
DRV - (hidgame) -- C:\WINDOWS\system32\drivers\hidgame.sys (Microsoft Corporation)
DRV - (ms_mpu401) -- C:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation)
DRV - (es1969) ESS 1969-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\es1969.sys (ESS Technology Inc.)
DRV - (solo) TerraTec 128iPCI (WDM) -- C:\WINDOWS\system32\drivers\solo.sys (ESS Technology, Inc.)
DRV - (Asapi) -- C:\WINDOWS\System32\drivers\asapi.sys (VOB Computersysteme GmbH)
DRV - (giveio) -- C:\WINDOWS\system32\giveio.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fritz.box;***.***.***.*
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://w*w.web.de/"
FF - prefs.js..network.proxy.type: 4
 
FF - HKLM\software\mozilla\Mozilla Firefox 2.0.0.20\extensions\\Components: D:\PROGRA~1\Mozilla Firefox\components [2010.07.21 23:04:52 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 2.0.0.20\extensions\\Plugins: D:\PROGRA~1\Mozilla Firefox\plugins [2010.06.30 23:21:05 | 000,000,000 | ---D | M]
 
[2007.08.04 00:25:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Mozilla\Firefox\Profiles\glzgontx.default\extensions
[2009.05.26 12:10:10 | 000,000,000 | ---D | M] (Session Manager) -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Mozilla\Firefox\Profiles\glzgontx.default\extensions\{1280606b-2510-4fe0-97ef-9b5a22eafe30}
[2009.04.28 15:17:10 | 000,000,000 | ---D | M] (Firefox Companion for eBay) -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Mozilla\Firefox\Profiles\glzgontx.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}
[2008.02.22 16:12:36 | 000,000,000 | ---D | M] (Untitled Toolbar) -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Mozilla\Firefox\Profiles\glzgontx.default\extensions\{6AE02E1C-8859-4F57-9097-5A55A56A4CAF}
[2010.07.16 14:49:06 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Mozilla\Firefox\Profiles\glzgontx.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2010.04.16 17:30:38 | 000,000,000 | ---D | M] (Tor-Proxy.NET Toolbar) -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Mozilla\Firefox\Profiles\glzgontx.default\extensions\{9815d32d-08c2-42ca-a8c6-43e501a4512f}
[2008.06.18 04:33:28 | 000,000,000 | ---D | M] (Download Statusbar) -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Mozilla\Firefox\Profiles\glzgontx.default\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
[2010.07.20 22:11:28 | 000,000,000 | ---D | M] (FoxLingo) -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Mozilla\Firefox\Profiles\glzgontx.default\extensions\{ef62e1ce-d2a4-4cdd-b7ec-92b120366b66}
[2009.12.08 17:55:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Mozilla\Firefox\Profiles\glzgontx.default\extensions\fb_add_on@avm.de
[2008.12.12 20:23:54 | 000,002,158 | ---- | M] () -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Mozilla\Firefox\Profiles\glzgontx.default\searchplugins\MySpace.xml
[2010.07.27 04:00:00 | 000,001,210 | ---- | M] () -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Mozilla\Firefox\Profiles\glzgontx.default\searchplugins\scroogle-de.xml
 
O1 HOSTS File: ([2010.07.28 04:47:00 | 000,414,776 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1   localhost
O1 - Hosts: 127.0.0.1	w*w.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	w*w.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	w*w.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	w*w.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	w*w.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	w*w.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	w*w.1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	w*w.100888290cs.com
O1 - Hosts: 127.0.0.1	w*w.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	w*w.10sek.com
O1 - Hosts: 127.0.0.1	w*w.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 14321 more lines...
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme2\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} -  File not found
O3 - HKLM\..\Toolbar: (no name) - {D0943516-5076-4020-A3B5-AEFAF26AB263} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] D:\Programme2\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [C-Media Mixer] C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (w*w.cmedia.com.tw))
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe (Silicon Integrated Systems Corp.)
O4 - HKLM..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe ()
O4 - HKCU..\Run: [SpybotSD TeaTimer] D:\Programme2\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\DUMMY\Startmenü\Programme\Autostart\MagicDisc.lnk = D:\Programme2\MagicDisc\MagicDisc.exe (MagicISO, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0 [2010.07.27 01:37:33 | 000,000,000 | ---D | M]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll (Sun Microsystems, Inc.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme2\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme2\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme2\ICQ6.5\ICQ.exe (ICQ, LLC.)
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Programme\Yahoo!\Common\yinsthelper.dll (YInstStarter Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2007.07.22 22:39:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2010.07.26 15:37:39 | 000,000,000 | R--D | M] - E:\Autoruns -- [ UDF ]
O32 - AutoRun File - [2010.04.30 16:26:19 | 000,595,499 | R--- | M] () - E:\Autoruns.zip -- [ UDF ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 90 Days ==========
 
[2010.07.28 11:44:19 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\DUMMY\Recent
[2010.07.28 03:23:40 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.07.28 03:23:37 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.07.28 03:23:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.07.28 02:40:15 | 000,258,560 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\DUMMY\Desktop\OTH.scr
[2010.07.27 20:00:09 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.27 19:29:04 | 006,153,384 | ---- | C] (Malwarebytes Corporation) -- C:\Dokumente und Einstellungen\DUMMY\Desktop\mbam-setup.exe
[2010.07.27 08:49:43 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\DUMMY\Desktop\OTL.exe
[2010.07.27 07:11:17 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.07.27 07:11:17 | 000,000,000 | ---D | C] -- C:\rsit
[2010.07.22 06:27:01 | 000,000,000 | ---D | C] -- C:\Programme\avmwlanstick
[2010.07.22 03:57:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\DUMMY\Eigene Dateien\Security
[2010.07.22 03:43:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\DUMMY\Eigene Dateien\Sicherheit
[2010.07.20 07:45:34 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.07.11 18:23:50 | 000,000,000 | ---D | C] -- C:\MAPDATA
[2010.07.02 22:46:20 | 000,000,000 | ---D | C] -- C:\Programme\Geogrid
[2010.07.02 21:32:06 | 000,000,000 | ---D | C] -- C:\Programme\Dornier GmbH
[2010.06.24 06:08:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Tracker Software
[2010.06.02 22:21:50 | 000,000,000 | -HSD | C] -- C:\FOUND.000
[2007.07.22 23:21:05 | 000,061,440 | ---- | C] ( ) -- C:\WINDOWS\System32\csnpstd2.dll
[2007.07.22 23:21:05 | 000,036,864 | ---- | C] ( ) -- C:\WINDOWS\System32\vsnpstd2.dll
[4 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 90 Days ==========
 
[2010.07.28 17:46:28 | 000,001,897 | -HS- | M] () -- C:\WINDOWS\System32\mmf.sys
[2010.07.28 17:46:14 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.28 11:44:24 | 019,398,656 | ---- | M] () -- C:\Dokumente und Einstellungen\DUMMY\ntuser.dat
[2010.07.28 11:06:46 | 000,000,100 | ---- | M] () -- C:\index.ini
[2010.07.28 04:19:48 | 000,001,091 | ---- | M] () -- C:\WINDOWS\SecurityandPrivacy2.ini
[2010.07.28 03:23:44 | 000,000,580 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.28 02:40:22 | 000,258,560 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\DUMMY\Desktop\OTH.scr
[2010.07.27 19:29:04 | 006,153,384 | ---- | M] (Malwarebytes Corporation) -- C:\Dokumente und Einstellungen\DUMMY\Desktop\mbam-setup.exe
[2010.07.27 11:04:16 | 003,296,924 | -H-- | M] () -- C:\Dokumente und Einstellungen\DUMMY\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.07.27 08:49:30 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\DUMMY\Desktop\OTL.exe
[2010.07.27 04:05:56 | 000,000,618 | ---- | M] () -- C:\Dokumente und Einstellungen\DUMMY\Desktop\CCleaner.lnk
[2010.07.27 03:27:46 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.22 02:26:32 | 000,963,044 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.07.22 02:26:32 | 000,415,124 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.07.22 02:26:32 | 000,400,624 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.07.22 02:26:32 | 000,074,988 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.07.22 02:26:32 | 000,062,286 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.07.22 02:10:10 | 000,001,212 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.07.22 02:10:10 | 000,000,253 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.07.21 09:02:28 | 000,024,032 | ---- | M] () -- C:\Dokumente und Einstellungen\DUMMY\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.07.21 06:58:20 | 000,135,664 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.07.21 06:57:02 | 000,000,042 | -HS- | M] () -- C:\Dokumente und Einstellungen\DUMMY\ntuser.ini
[2010.07.21 06:54:42 | 000,415,124 | ---- | M] () -- C:\WINDOWS\System32\prfh0407.dat
[2010.07.21 06:54:42 | 000,074,988 | ---- | M] () -- C:\WINDOWS\System32\prfc0407.dat
[2010.07.19 22:25:24 | 000,002,828 | -HS- | M] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2010.07.19 06:31:32 | 000,000,032 | ---- | M] () -- C:\WINDOWS\System32\w3data.vss
[2010.07.19 06:31:32 | 000,000,032 | ---- | M] () -- C:\WINDOWS\System32\msvcsv60.dll
[2010.07.19 06:31:32 | 000,000,032 | ---- | M] () -- C:\WINDOWS\msocreg32.dat
[2010.07.12 05:05:18 | 000,044,786 | ---- | M] () -- C:\WINDOWS\Logic 5.prf
[2010.07.08 00:59:02 | 000,000,634 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2010.07.02 21:32:00 | 000,000,666 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Top50 Viewer.lnk
[2010.07.01 17:03:06 | 000,166,569 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.06.30 23:21:02 | 000,000,629 | ---- | M] () -- C:\Dokumente und Einstellungen\DUMMY\Desktop\PDF-Viewer.lnk
[2010.06.21 12:15:10 | 000,724,992 | ---- | M] (Indigo Rose Corporation) -- C:\WINDOWS\iun6002.exe
[2010.05.28 15:07:42 | 000,001,379 | ---- | M] () -- C:\Dokumente und Einstellungen\DUMMY\Desktop\Windows-Explorer.lnk
[2010.05.11 23:08:10 | 000,249,856 | ---- | M] () -- C:\WINDOWS\lcmmfu.cpl
[2010.05.11 23:08:10 | 000,016,384 | ---- | M] () -- C:\WINDOWS\Runservice.exe
[2010.05.11 23:08:08 | 000,048,640 | ---- | M] () -- C:\WINDOWS\mmfs.dll
[4 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.28 11:06:45 | 000,000,100 | ---- | C] () -- C:\index.ini
[2010.07.28 03:23:43 | 000,000,580 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.27 04:05:53 | 000,000,618 | ---- | C] () -- C:\Dokumente und Einstellungen\DUMMY\Desktop\CCleaner.lnk
[2010.07.21 06:54:41 | 000,415,124 | ---- | C] () -- C:\WINDOWS\System32\prfh0407.dat
[2010.07.21 06:54:40 | 000,074,988 | ---- | C] () -- C:\WINDOWS\System32\prfc0407.dat
[2010.07.02 21:31:59 | 000,000,666 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Top50 Viewer.lnk
[2010.06.30 23:21:01 | 000,000,629 | ---- | C] () -- C:\Dokumente und Einstellungen\DUMMY\Desktop\PDF-Viewer.lnk
[2010.01.11 14:17:37 | 000,000,613 | ---- | C] () -- C:\WINDOWS\tlknw1.ini
[2009.11.27 03:42:57 | 000,000,130 | ---- | C] () -- C:\WINDOWS\cfplogvw.INI
[2009.09.23 23:18:14 | 000,000,660 | ---- | C] () -- C:\WINDOWS\PCMixer.ini
[2009.09.19 20:05:56 | 000,004,357 | ---- | C] () -- C:\WINDOWS\dop.ini
[2009.09.19 20:05:56 | 000,000,070 | ---- | C] () -- C:\WINDOWS\sndcheck.ini
[2009.09.19 20:05:43 | 000,000,050 | ---- | C] () -- C:\WINDOWS\voydll.ini
[2009.09.19 20:05:42 | 000,000,017 | ---- | C] () -- C:\WINDOWS\recordext.ini
[2008.08.14 02:14:58 | 000,002,828 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2008.08.14 02:14:58 | 000,000,088 | RHS- | C] () -- C:\WINDOWS\System32\80CA324E5B.sys
[2008.07.30 06:56:21 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.07.24 09:04:00 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV60.sys
[2008.06.30 10:55:01 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.INI
[2008.06.27 04:41:58 | 000,007,420 | ---- | C] () -- C:\WINDOWS\UA000028.DLL
[2008.06.27 04:41:58 | 000,007,420 | ---- | C] () -- C:\WINDOWS\UA000023.DLL
[2008.06.27 04:41:58 | 000,007,420 | ---- | C] () -- C:\WINDOWS\UA000022.DLL
[2008.06.22 07:04:32 | 000,000,032 | ---- | C] () -- C:\WINDOWS\System32\msvcsv60.dll
[2008.05.13 11:09:06 | 000,164,352 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2008.05.13 11:09:03 | 000,755,027 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2008.05.13 11:09:03 | 000,159,839 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2008.05.13 11:09:02 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008.05.13 11:09:00 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008.05.13 11:09:00 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2008.02.15 05:21:48 | 000,151,552 | ---- | C] () -- C:\WINDOWS\System32\nvRegDev.dll
[2008.01.30 08:34:02 | 000,001,897 | -HS- | C] () -- C:\WINDOWS\System32\mmf.sys
[2008.01.30 08:33:59 | 000,048,640 | ---- | C] () -- C:\WINDOWS\mmfs.dll
[2007.12.09 04:39:01 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll
[2007.12.05 01:41:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.12.05 01:41:00 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.12.05 01:41:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.12.05 01:41:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.12.05 01:41:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007.12.03 19:10:15 | 000,032,768 | ---- | C] () -- C:\WINDOWS\SIS_LIB.DLL
[2007.11.25 03:33:08 | 000,001,091 | ---- | C] () -- C:\WINDOWS\SecurityandPrivacy2.ini
[2007.10.25 01:56:08 | 000,000,814 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2007.08.19 22:53:10 | 000,000,101 | ---- | C] () -- C:\WINDOWS\CMMIXER.INI
[2007.08.08 20:35:06 | 000,000,634 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.08.07 04:46:44 | 000,000,265 | ---- | C] () -- C:\WINDOWS\Systran.ini
[2007.08.07 04:46:42 | 000,000,282 | ---- | C] () -- C:\WINDOWS\ssiregst.ini
[2007.08.07 03:13:11 | 016,379,904 | ---- | C] () -- C:\WINDOWS\System32\AbsynthIAC.dll
[2007.08.07 03:00:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PlgEnabler2a.INI
[2007.08.07 02:52:40 | 000,520,267 | ---- | C] () -- C:\WINDOWS\System32\libmmd.dll
[2007.08.01 19:04:31 | 000,041,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\Oreans.sys
[2007.07.30 02:15:54 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll
[2007.07.30 02:15:54 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll
[2007.07.22 23:21:21 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\dsnpstd2.dll
[2007.07.22 23:21:21 | 000,015,541 | ---- | C] () -- C:\WINDOWS\snpstd2.ini
[2007.07.22 23:21:10 | 000,334,080 | ---- | C] () -- C:\WINDOWS\System32\drivers\snpstd2.sys
[2007.07.22 23:21:05 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\rsnpstd2.dll
[2007.07.22 22:54:59 | 000,000,025 | ---- | C] () -- C:\WINDOWS\mixerdef.ini
[2004.08.03 23:57:22 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2000.01.27 14:42:26 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\SysIECom.dll
[2000.01.27 09:56:02 | 000,278,528 | ---- | C] () -- C:\WINDOWS\System32\ssistdop.dll
[2000.01.27 09:34:38 | 000,311,364 | ---- | C] () -- C:\WINDOWS\System32\ssistd.dll
[1996.12.14 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\ODBCSTF.DLL
[1996.12.14 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL
[1996.12.14 00:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL
[1996.04.03 21:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys
 
========== LOP Check ==========
 
[2007.09.27 22:31:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cakewalk
[2007.12.21 15:36:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEB.DE
[2008.02.28 05:23:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2009.04.21 13:12:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OptiTex
[2009.09.28 12:22:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Overloud
[2009.09.28 12:24:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
[2009.10.04 00:17:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iZotope
[2009.11.17 01:28:02 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D69A48BF-7653-4AA8-94BC-5847522A4573}
[2008.09.07 10:31:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Canneverbe_Limited
[2007.08.21 19:54:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Planetside Software
[2007.08.21 20:16:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\uk.co.planetside
[2007.12.06 06:22:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\SparkleXP
[2007.12.19 05:19:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\FRITZ!
[2009.02.05 04:03:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\ImgBurn
[2007.12.21 15:36:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\WEB.DE
[2009.02.05 21:05:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Waves
[2008.08.10 07:05:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Queue Manager
[2009.01.30 18:38:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Database Harbor
[2009.02.05 21:02:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Waves Preferences
[2010.06.24 06:08:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Tracker Software
[2009.09.28 00:33:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\PACE Anti-Piracy
[2009.11.10 04:58:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Steinberg
[2008.09.24 17:49:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\ICQ
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2001.10.19 21:20:02 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2004.08.03 21:59:48 | 000,251,184 | RHS- | M] () -- C:\ntldr
[2004.08.03 21:38:34 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2008.09.03 22:07:26 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2007.10.25 02:02:52 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2007.07.22 22:39:14 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2007.07.22 22:39:14 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2007.07.22 22:39:14 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2007.12.14 12:49:44 | 000,000,146 | ---- | M] () -- C:\YServer.txt
[2008.02.20 23:47:28 | 000,017,408 | ---- | M] (Microsoft Corporation) -- C:\psapi.dll
[2007.07.23 05:03:34 | 000,000,056 | -HS- | M] () -- C:\redir.sys
[2010.07.28 11:06:46 | 000,000,100 | ---- | M] () -- C:\index.ini
[2008.11.08 06:51:28 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt00.sqm
[2008.11.08 06:51:28 | 000,000,268 | -H-- | M] () -- C:\sqmdata00.sqm
[2007.08.15 01:54:50 | 000,000,717 | ---- | M] () -- C:\tstamps.log
[2007.07.28 09:10:40 | 000,005,400 | ---- | M] () -- C:\commandlist.txt
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2007.07.22 22:38:28 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
[2010.07.22 07:49:06 | 000,001,658 | -H-- | M] () -- C:\Dokumente und Einstellungen\DUMMY\Anwendungsdaten\Microsoft\LastFlashConfig.WFC
 
< %PROGRAMFILES%\*.* >
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2007.07.22 22:23:04 | 000,405,504 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
[2007.07.22 22:23:04 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2007.07.22 22:23:04 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
 
< %systemroot%\system32\user32.dll /md5 >
[2004.08.03 23:57:38 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\system32\user32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2004.08.03 23:57:40 | 000,082,944 | ---- | M] (Microsoft Corporation) MD5=D569240A22421D5F670BB6FB6DD522B5 -- C:\WINDOWS\system32\ws2_32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\system32\ws2help.dll /md5 >
[2004.08.03 23:57:40 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=B3ADA72D1E3E10A8F6430669DFC38ED0 -- C:\WINDOWS\system32\ws2help.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
< End of report >

Larusso · 28.07.2010, 19:33

OTL logfile created on: 28.07.2010 19:33:49 - Run 7 ???

Drive D: | 149,05 Gb Total Space | 3,64 Gb Free Space | 2,44% Space Free | Partition Type: NTFS
Drive E: | 278,79 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF

Was sind das für Partitionen?
AUf jedenfall dringends aufräumen. Alles unter 15% freier Speicher ist zu voll

Teatimer abstellen

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

Schritt 2

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

:OTL
[2008.08.14 02:14:58 | 000,002,828 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} -  File not found
O3 - HKLM\..\Toolbar: (no name) - {D0943516-5076-4020-A3B5-AEFAF26AB263} - No CLSID value found.

:services
:files
:reg
:Commands
[purity]
[emptytemp]
[reboot]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
Klick auf .
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
Entferne rechts den Haken bei
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

HaZa_Due · 28.07.2010, 21:45

Run 7: Denke, es ist der 7. Durchlauf, seitdem ich OTL vor 2 Tagen installiert hatte. Bislang habe ich aber mit keinem der tools etwas "gefixt", sondern nur Analyse Funktionen verwendet (Scan/Quickscan).

Drive C: System HD
Drive D: Daten HD
Drive E: DVD RAM Laufwerk

Hier nun der log text aus dem "fix" zu Schritt 2:

Code:

ATTFilter

All processes killed
========== OTL ==========
C:\WINDOWS\system32\KGyGaAvL.sys moved successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoLowDiskSpaceChecks deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoLowDiskSpaceChecks deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D0943516-5076-4020-A3B5-AEFAF26AB263} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D0943516-5076-4020-A3B5-AEFAF26AB263}\ not found.
========== SERVICES/DRIVERS ==========
Error: Unable to interpret <:files:reg> in the current context!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: All Users
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 494045 bytes
 
User: DUMMY
->Temp folder emptied: 251876 bytes
->Temporary Internet Files folder emptied: 49554 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 3706984 bytes
->Flash cache emptied: 3744453 bytes
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Administrator.SCHROTTBOX
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 2593714 bytes
 
User: SparkleXP
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 120323 bytes
 
User: DUMMY2
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114764 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 765 bytes
 
Total Files Cleaned = 13,00 mb
 
 
OTL by OldTimer - Version 3.2.9.1 log created on 07282010_221840

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Ergebnisse aus Schritt 3 poste ich hier in Kürze.

Hier schonmal Danke für deine Hilfe!

Edit:

PS: Eine Datenträgerbereinigung kann ich vorerst nicht machen, da ich diese Daten backuppen, oder auf DVD brennen müsste, was mir aber z.Z verwehrt ist.

HaZa_Due · 28.07.2010, 22:41

So, nun der Log aus Schritt 3:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-07-28 23:21:27
Windows 5.1.2600 Service Pack 2
Running: q9krsiyu.exe; Driver: C:\DOKUME~1\DUMMY\LOKALE~1\Temp\ugliikob.sys


---- System - GMER 1.0.15 ----

SSDT            F7B71276                                  ZwCreateKey
SSDT            F7B7126C                                  ZwCreateThread
SSDT            F7B7127B                                  ZwDeleteKey
SSDT            F7B71285                                  ZwDeleteValueKey
SSDT            F7B7128A                                  ZwLoadKey
SSDT            F7B71258                                  ZwOpenProcess
SSDT            F7B7125D                                  ZwOpenThread
SSDT            F7B71294                                  ZwReplaceKey
SSDT            F7B7128F                                  ZwRestoreKey
SSDT            F7B71280                                  ZwSetValueKey
SSDT            F7B71267                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys  section is writeable [0xF6BDE380, 0x346307, 0xE8000020]
pnidata         C:\WINDOWS\system32\DRIVERS\secdrv.sys    unknown last section [0xBA2A6F00, 0x24000, 0x48000000]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                  fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Diese ugliikob.sys war mir bereits aufgefallen und hatte sie schon gelöscht (...geglaubt).

Larusso · 28.07.2010, 22:44

Hast du den Temptreiber von GMER gelöscht.

Bitte tu dir einen gefallen, lösche nichts wenn ich es dir nicht sage.

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.
Button drücken.
- Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User: müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Hacken bei Yes, i accept the Terms of Use.
Drücke den Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Remove found threads" und "Scan archives".
drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
Logfile hier posten.

HaZa_Due · 29.07.2010, 08:05

Zitat:

Zitat von Larusso

Hast du den Temptreiber von GMER gelöscht.

....hatte mir schon so was in der Art gedacht. Der ist mir zumindest vor kurzem mal aufgefallen.

Hier also das ESET log. Leider wohl unergiebig.

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=9c93fb9d83fe6c478bcfa559634ff9cd
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-07-29 05:42:27
# local_time=2010-07-29 07:42:27 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=crash
# scanned=690782
# found=1
# cleaned=1
# scan_time=14444
D:\0 Downloads\Game Patches Mods\Combat Mission\CMSF_v121_Patch.exe	

probably a variant of Win32/Statik application (deleted - quarantined)	

00000000000000000000000000000000	C

Glaube nicht, das der offizielle game patch von der Hersteller page, tatsächlich einen Virus enthält. Soweit ich mich erinnere, hat Avira auch in der aggressiven Einstellung da nichts "verdächtigt". Nunja...

Beim scannen mit anderen tools, ist mir immer wieder vor allem in der registry ein user "S-1-5-19", "S-1-5-20" und "S-1-5-21-682003330-764733703-854245398-1003", aufgefallen.

In der Systemsteuerung --> Verwaltung --> Lokale Sicherheitseinstellungen --> Lokale Richtlinien --> Zuweisen von Benutzerrechten, scheint dieser user "S-1-5-21-682003330-764733703-854245398-1003" sogar die alleinige Kotrolle über bestimmte Sicherheitseinstellungen zu haben. Vor kurzem gab es da auch noch ein Benutzerkonto, das ich nur über "control userpasswords2" sehen konnte und dann sofort gelöscht habe. Hatte wohl irgendwas mit ASP.NET state service zu tun, aber bin mir nicht sicher.

Am Tag bevor die unerwünschte "Systemübernahme" auftrat, änderte ich mit dem "CMIA Security & Privacy Complete" die Einstellungen für "Windows Script Host" und "Schreibschutz für hosts datei setzen" auf Freischalltung (ticks weg), weil zuvor bei der Installation eines Game Demos, eine Fehlermeldung auftrat, die den inaktiven Window script host bemängelte. Zu diesem Zeitpunkt wollte der Installer aktuelle C++ runtime Bibliotheken installieren. Die Installation lief trotzdem zuende und das Game Demo lief auch. Habe irgendwie das Gefühl, das sich dann über den script host irgendwas "aktivierte", was zum jetzigen Systemzustand geführt hat. Trotz Admin Status, scheine ich auf meinem Computer nun nur noch User eines Lokalen Services zu sein. Seltsam alles...

Kann man evtl. die Autoruns im Autostart checken?

Larusso · 29.07.2010, 08:59

Den Autostart hab ich schon lange gecheckt, und noch ein bisschen mehr

Solch Schlüssel sollte man eher in Ruhe lassen.

Wie gesagt, ich kann Dir nicht garantieren das ich finde ob oder was manipuliert wurde.

Nehmen wir mal den Hammer

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

HaZa_Due · 29.07.2010, 16:02

Das Combofix log:

Code:

ATTFilter

ComboFix 10-07-28.03 - DUMMY 29.07.2010  16:15:40.1.1 - FAT32x86
ausgeführt von:: c:\dokumente und einstellungen\DUMMY\Desktop\Blub007.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\msvcsv60.dll
c:\windows\system32\ReadMe.txt

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_XPROTECTOR


(((((((((((((((((((((((   Dateien erstellt von 2010-06-28 bis 2010-07-29  ))))))))))))))))))))))))))))))
.

2010-07-28 20:18 . 2010-07-28 20:18	--------	d-----w-	C:\_OTL
2010-07-28 01:23 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-28 01:23 . 2010-07-28 01:23	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-28 01:23 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-27 18:00 . 2010-07-27 18:00	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-27 05:11 . 2010-07-27 05:11	--------	d-----w-	C:\rsit
2010-07-27 05:11 . 2010-07-27 05:11	--------	d-----w-	c:\programme\trend micro
2010-07-22 05:28 . 2010-07-22 05:28	24032	----a-w-	c:\dokumente und einstellungen\Administrator.SCHROTTBOX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-22 05:03 . 2001-08-18 10:00	19456	----a-w-	c:\windows\system32\simptcp.dll
2010-07-22 04:27 . 2010-07-22 04:27	--------	d-----w-	c:\programme\avmwlanstick
2010-07-21 21:04 . 2010-07-21 21:04	--------	d-----w-	c:\dokumente und einstellungen\Administrator.SCHROTTBOX\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-07-21 04:54 . 2010-07-21 04:54	415124	----a-w-	c:\windows\system32\prfh0407.dat
2010-07-21 04:54 . 2010-07-21 04:54	74988	----a-w-	c:\windows\system32\prfc0407.dat
2010-07-21 02:59 . 2010-07-21 03:00	--------	d-----r-	c:\dokumente und einstellungen\Daniel\Eigene Dateien
2010-07-21 01:26 . 2010-07-21 01:26	142	----a-w-	c:\dokumente und einstellungen\SparkleXP\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2010-07-21 01:26 . 2010-07-21 01:26	--------	d-----w-	c:\dokumente und einstellungen\SparkleXP\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
2010-07-21 01:10 . 2004-08-03 23:57	221184	----a-w-	c:\windows\system32\wmpns.dll
2010-07-21 01:09 . 2010-07-21 01:10	--------	d-----r-	c:\dokumente und einstellungen\SparkleXP\Eigene Dateien
2010-07-11 16:23 . 2010-07-11 16:23	--------	d-----w-	C:\MAPDATA
2010-07-11 16:19 . 2010-07-11 16:19	40960	----a-r-	c:\dokumente und einstellungen\DUMMY\Anwendungsdaten\Microsoft\Installer\{5E08B15D-7C97-4FC9-8500-BD7EDA18C66A}\NewShortcut3_5E08B15D7C974FC98500BD7EDA18C66A.exe
2010-07-11 16:19 . 2010-07-11 16:19	40960	----a-r-	c:\dokumente und einstellungen\DUMMY\Anwendungsdaten\Microsoft\Installer\{5E08B15D-7C97-4FC9-8500-BD7EDA18C66A}\NewShortcut1_5E08B15D7C974FC98500BD7EDA18C66A.exe
2010-07-11 16:19 . 2010-07-11 16:19	40960	----a-r-	c:\dokumente und einstellungen\DUMMY\Anwendungsdaten\Microsoft\Installer\{5E08B15D-7C97-4FC9-8500-BD7EDA18C66A}\ARPPRODUCTICON.exe
2010-07-02 20:46 . 2010-07-02 20:46	--------	d-----w-	c:\programme\Geogrid
2010-07-02 19:32 . 2010-07-02 19:32	--------	d-----w-	c:\programme\Dornier GmbH

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-29 14:23 . 2008-01-30 06:34	1897	--sha-w-	c:\windows\system32\mmf.sys
2010-07-22 00:26 . 2001-10-19 19:30	415124	----a-w-	c:\windows\system32\perfh007.dat
2010-07-22 00:26 . 2001-10-19 19:30	74988	----a-w-	c:\windows\system32\perfc007.dat
2010-07-21 07:02 . 2007-07-22 20:45	24032	----a-w-	c:\dokumente und einstellungen\DUMMY\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-19 04:31 . 2008-06-22 05:04	32	----a-w-	c:\windows\msocreg32.dat
2010-06-24 04:08 . 2010-06-24 04:08	--------	d-----w-	c:\dokumente und einstellungen\DUMMY\Anwendungsdaten\Tracker Software
2010-06-21 10:15 . 2007-11-15 05:56	724992	----a-w-	c:\windows\iun6002.exe
2010-06-09 22:00 . 2010-06-09 22:00	4379984	----a-w-	c:\windows\system32\D3DX9_40.dll
2010-05-11 21:08 . 2008-01-30 06:33	16384	----a-w-	c:\windows\Runservice.exe
2010-05-11 21:08 . 2008-01-30 06:33	48640	----a-w-	c:\windows\mmfs.dll
2008-08-14 00:38 . 2008-08-14 00:14	88	--sh--r-	c:\windows\system32\80CA324E5B.sys
.

------- Sigcheck -------

Kryptografiedienst Fehler !!
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-04 8523776]
"C-Media Mixer"="Mixer.exe" [2001-11-15 1216512]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-28 1454080]
"SNPSTD2"="c:\windows\vsnpstd2.exe" [2004-06-10 286720]
"avgnt"="d:\programme2\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" [2007-12-04 1626112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-682003330-764733703-854245398-1005\Scripts\Logoff\0\0]
"Script"=scriptoff.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-682003330-764733703-854245398-1005\Scripts\Logon\0\0]
"Script"=scripton.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\WINDOWS\\System32\\dplaysvr.exe"=
"d:\\Programme2\\Sshock2\\SHOCK2.icd"=
"d:\\Programme2\\WEB.DE\\WEB.DE MultiMessenger\\MESSENGR.EXE"=
"d:\\Programme2\\Ubisoft\\Faces of War\\facesofwar.exe"=
"d:\\Programme2\\505games\\1C\\Men of War\\mow.exe"=
"d:\\Programme2\\ICQ6.5\\ICQ.exe"=
"d:\\Programme2\\Steam\\SteamApps\\common\\red orchestra\\System\\RedOrchestra.exe"=
"d:\\Programme2\\Steam\\SteamApps\\common\\red orchestra\\System\\ROEd.exe"=
"d:\\Programme2\\Azureus\\Azureus.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"d:\\Programme2\\IDA\\idag.exe"=
"d:\\Programme2\\IDA\\idag64.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"64268:TCP"= 64268:TCP:*:Disabled:upload
"61794:TCP"= 61794:TCP:Azureus  TCP
"61795:UDP"= 61795:UDP:Azureus UDP
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2006-12-28 4352]
R3 es1969;ESS 1969-Audiotreiber (WDM);c:\windows\system32\drivers\es1969.sys [2001-08-17 72192]
R3 solo;TerraTec 128iPCI (WDM);c:\windows\system32\drivers\solo.sys [2000-07-10 73873]
R4 Aha1hiinrw;Aha1hiinrw;c:\windows\system32\drivers\modem.sys [2004-08-03 30336]
S1 Asapi;Asapi; [x]
S1 hwinterface;hwinterface;c:\windows\system32\Drivers\hwinterface.sys [2008-02-21 3026]
S1 SSHDRV60;SSHDRV60;c:\windows\system32\drivers\SSHDRV60.sys [2008-07-24 36864]
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;d:\programme2\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 drhard;drhard; [x]
S2 LicCtrlService;LicCtrl Service;c:\windows\runservice.exe [2010-05-11 16384]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2006-12-28 265088]

.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = fritz.box;***.***.***.*
FF - ProfilePath - c:\dokumente und einstellungen\DUMMY\Anwendungsdaten\Mozilla\Firefox\Profiles\glzgontx.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.web.de/
FF - prefs.js: network.proxy.type - 4
FF - component: c:\dokumente und einstellungen\DUMMY\Anwendungsdaten\Mozilla\Firefox\Profiles\glzgontx.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
FF - component: c:\dokumente und einstellungen\DUMMY\Anwendungsdaten\Mozilla\Firefox\Profiles\glzgontx.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
FF - component: c:\dokumente und einstellungen\DUMMY\Anwendungsdaten\Mozilla\Firefox\Profiles\glzgontx.default\extensions\fb_add_on@avm.de\components\FB_AddOn.dll
FF - component: d:\programme2\Mozilla Firefox\components\xpinstal.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Adobe Photoshop 7.0 - d:\programme2\Adobe\Photoshop 7.0\Uninst.isu



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-29 16:29
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\LicCtrl\LicCtrl\LicCtrl\LicCtrl*lkzs$i&#&y@^t! #^$ g9^$&pgb SDB36o \D25BC253F035D347]
"1"=hex:6a,0b,56,13,c1,93,dc,9c,fb,61,a2,a0,e4,ff,91,20,60,bf,2f,c2,35,91,ae,
   25
"2"=hex:fb,e6,50,7f,41,f4,51,a7,7f,ec,2d,f9,42,45,3a,02,3a,b7,45,15,3f,9d,8b,
   c3
"3"=hex:6a,0b,56,13,c1,93,dc,9c,fb,61,a2,a0,e4,ff,91,20,5d,f5,58,d1,21,e0,48,
   8b,38,57,44,9c,4e,8d,78,88,fd,f1,01,9d,86,d8,b5,cb,d9,bf,23,55,4a,bb,31,1f

[HKEY_LOCAL_MACHINE\software\LicCtrl\LicCtrl\LicCtrl\LicCtrl*lkzs$i&#&y@^t! #^$ g9^$&pgb SDB36o \D25BC253F035D347\A62C3DF982434ABDAD414E772CEE62E6]
"1"=hex:bf,6a,73,4a,48,57,d9,26,5d,d7,11,8b,51,ce,1c,37,b2,8b,15,99,5d,9d,47,
   61,6c,bf,37,a7,d1,d7,c0,b2
"2"=hex:af,48,68,fb,0f,c8,42,37
"3"=hex:81,20,8f,ab,28,6a,52,9c
"4"=hex:2f,ad,a2,e7,8a,bf,05,5e
"5"=hex:bf,e5,23,7b,b0,66,d6,fc,b8,e8,6b,a0,96,52,f7,32,80,09,8f,24,b7,b3,55,
   1a,98,d1,47,16,02,43,61,1c,b9,d5,8f,2a,7b,81,b1,fb,95,22,f8,b3,2c,53,9d,ae,\
"6"=hex:bf,e5,23,7b,b0,66,d6,fc,bc,64,22,fb,7e,d3,39,3e,a3,00,33,13,c0,21,f4,
   51,6c,4e,0c,96,e2,dd,ad,8a,b6,c4,05,e8,5a,bd,9a,e9,d4,1a,3d,68,9d,00,32,20
"7"=hex:6a,0b,56,13,c1,93,dc,9c,fb,61,a2,a0,e4,ff,91,20,56,a7,02,9d,f0,a0,1d,
   cc,28,d9,b1,18,9e,f1,8d,e8,54,e6,61,27,95,2e,52,cc,1c,f7,fa,64,bd,24,b7,82,\
"8"=hex:4e,76,82,b0,55,a5,5f,45,e3,46,37,7a,f1,bf,6e,0b,57,13,88,21,a0,92,65,
   72,b9,9a,f2,3e,d9,45,85,51,e9,3a,c1,2c,27,5f,d1,9d,d2,e0,32,f2,fb,b8,18,f2,\
"9"=hex:81,20,8f,ab,28,6a,52,9c
"18"=hex:b6,dd,00,4d,9d,38,11,d1
"10"=hex:81,20,8f,ab,28,6a,52,9c
"11"=hex:81,20,8f,ab,28,6a,52,9c
"12"=hex:81,20,8f,ab,28,6a,52,9c
"13"=hex:81,20,8f,ab,28,6a,52,9c
"14"=hex:81,20,8f,ab,28,6a,52,9c
"24"=hex:81,20,8f,ab,28,6a,52,9c
"26"=hex:81,20,8f,ab,28,6a,52,9c
"27"=hex:81,20,8f,ab,28,6a,52,9c
"19"=hex:81,20,8f,ab,28,6a,52,9c
"22"=hex:81,20,8f,ab,28,6a,52,9c
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\programme2\Avira\AntiVir Desktop\avguard.exe
c:\programme\avmwlanstick\WlanNetService.exe
d:\programme2\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\tcpsvcs.exe
c:\windows\Mixer.exe
d:\programme2\MagicDisc\MagicDisc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-29  16:35:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-07-29 14:35

Vor Suchlauf: 371.539.968 Bytes frei
Nach Suchlauf: 254.930.944 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 3B49AFCAA65F8130A9489E4FCC2C20A2

Larusso · 29.07.2010, 16:24

DU musst hierzu als Admin angemeldet sein

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

@echo off
net stop cryptsvc 
cd "%systemdrive%"
ren "%systemroot%\system32\catroot2\Edb.log" *.tst
net start cryptsvc 
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc" > "%temp%\look.txt"
notepad "%temp%\look.txt"
del %0

Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat, poste mir den Inhalt des Textdokuments.
Vista- User: Mit Rechtsklick "als Administrator starten"

HaZa_Due · 29.07.2010, 17:00

ICH bin der Admin an meinem privaten Rechner zuhause, um den es hier ja geht und das ist ja das Problem, seit dem 19/20. Juli. Mein normaler user account, den ich ja so seit 2-3 Jahren verwende, hat den bei Installation vorgegebenen Admin Status. Hatte erst am Tag der ungewollten Systemänderung zum jetzigen Zustand, über "control userpasswords2" nachgeforscht, warum ich keinen Vollzugriff mehr auf meinen Rechner habe. Dabei habe ich neben meinem normalen Admin Account, noch 2 Dummies angelegt. SparkleXP ist noch ein anderer, durch ein tool angelegter. Daneben gab es keine von mir selbst angelegten accounts. Den verdächtigen "S-1-5-usw.", den ich für einen Hack gehalten habe, hatte ich dann gelöscht. Ausser mir selbst, kann an diesen Rechner niemand ran und die einzige Aussenverbindung, ist Direktzugang zum Internet. Daher habe ich es eben als Hackerangriff oder Trojaneraktivität gewertet. Sehr seltsam alles...

Hier der Inhalt aus dem batch:

Code:

ATTFilter

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc
    DependOnService	REG_MULTI_SZ	RpcSs\0\0
    Description	REG_SZ	Stellt drei Verwaltungsdienste bereit: den Katalogdatenbankdienst, der die Signaturen von Windows-Dateien bestätigt; den Dienst für geschützten Stammspeicher, der Zertifikate vertrauenswürdiger Stammzertifizierungsstellen zu diesem Computer hinzufügt und entfernt und den Schlüsseldienst, der diesen Computer bei Einschreibungen in  Zertifikate unterstützt. Wenn dieser Dienst beendet wird, werden diese Verwaltungsdienste nicht korrekt funktionieren.  Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
    DisplayName	REG_SZ	CryptSvc
    ErrorControl	REG_DWORD	0x1
    ImagePath	REG_EXPAND_SZ	%SystemRoot%\system32\svchost.exe -k netsvcs
    ObjectName	REG_SZ	LocalSystem
    Start	REG_DWORD	0x2
    Type	REG_DWORD	0x20

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc\Enum

Larusso · 29.07.2010, 19:07

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

ATTFilter

DEQUARANTINE::
c:\qoobox\quarantine\c\windows\system32\msvcsv60.dll.vir
Quite::

Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!
Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.
Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
Mache nichts am PC solange ComboFix läuft.

In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Hinweis für Mitleser:
Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Schritt 2

Thanks to Advanced Setup --> Malwarebytes.org

Downloade dir Download and install SubInACL
und installiere es.

Schritt 3

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

@ECHO OFF
::Written to update registry permissions for Malwarebytes installation issues.
cd /d "%programfiles%\Windows Resource Kits\Tools"
subinacl /subkeyreg HKEY_CLASSES_ROOT\MBAMExt.MBAMShlExt /grant=administrators=f /grant=system=f /grant=restricted=r /grant=%USERNAME%=f /setowner=administrators
subinacl /subkeyreg HKEY_CLASSES_ROOT\MBAMExt.MBAMShlExt.1 /grant=administrators=f /grant=system=f /grant=restricted=r /grant=%USERNAME%=f /setowner=administrators
subinacl /subkeyreg HKEY_CLASSES_ROOT\SSubTimer6.CTimer /grant=administrators=f /grant=system=f /grant=restricted=r /grant=%USERNAME%=f /setowner=administrators
subinacl /subkeyreg HKEY_CLASSES_ROOT\SSubTimer6.GSubclass /grant=administrators=f /grant=system=f /grant=restricted=r /grant=%USERNAME%=f /setowner=administrators
subinacl /subkeyreg HKEY_CLASSES_ROOT\SSubTimer6.ISubclass /grant=administrators=f /grant=system=f /grant=restricted=r /grant=%USERNAME%=f /setowner=administrators
subinacl /subkeyreg HKEY_CLASSES_ROOT\vbAcceleratorSGrid6.cGridCell /grant=administrators=f /grant=system=f /grant=restricted=r /grant=%USERNAME%=f /setowner=administrators
subinacl /subkeyreg HKEY_CLASSES_ROOT\vbAcceleratorSGrid6.cGridSortObject /grant=administrators=f /grant=system=f /grant=restricted=r /grant=%USERNAME%=f /setowner=administrators
subinacl /subkeyreg HKEY_CLASSES_ROOT\vbAcceleratorSGrid6.IGridCellOwnerDraw /grant=administrators=f /grant=system=f /grant=restricted=r /grant=%USERNAME%=f /setowner=administrators
subinacl /subkeyreg HKEY_CLASSES_ROOT\vbAcceleratorSGrid6.vbalGrid /grant=administrators=f /grant=system=f /grant=restricted=r /grant=%USERNAME%=f /setowner=administrators
ECHO .
ECHO All done.  Please try to reinstall Malwarebytes now.
pause

Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat.
Vista- User: Mit Rechtsklick "als Administrator starten"

Bitte poste in Deiner nächsten Antwort
Combofix.txt