Security Suite und Antimalware doctor lassen sich nicht entfernen

Kimi22 · 18.08.2010, 17:27

Lieber cosinus, undoreal, daGuRu, Larusso und weiteren Helfer von diesem wunderbaren Board.

Gestern wurde mein Laptop vom "Antimalware Doctor" und "Security Suite" befallen. Die Symptome sind sicherlich zu genüge bekannt ( popups, warnhinweise, programmblocking, usw.)

Nach den allgemeinen bisher schon geposteten Hilfestellungen befolgte ich die Anweisungen und, lud mir malwarebytes.exe, runter- ich habe alles durchlaufen lassen. Das Programm signalisiert mir, das eine infizierte Datei nicht gelöscht werden konnte.

Daraufhin habe ich das im abgesichterten Modus probiert. Dort blieb das Problem immer das gleiche.
Zu guter Letzt habe ich mir rkiller.exe runtergeladen um antimalware Prozesse zu unterbinden.

Zudem habe ich CCleaner und HijackThis durchlaufen lassen.
Mein Antivirus-Progtam (AVG Antvirus) meldet zwar das eine Bedrohung geblockt wurde, jedoch findet Anti-Malware bei jedem scan etwas und ohne rkill.exe nerven die Viren weiterhin.

Wie kriege ich jetzt Antimalware Doctor und Security Suite endgültig vom Rechner?

Anbei sende ich die Malwarebytes und Hijack Log-Datei.

Code:

ATTFilter

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 3
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mcexecwin (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\MyCentria (Adware.MyCentria) -> Quarantined and deleted successfully.
C:\Programme\MyCentria\Firefox (Adware.MyCentria) -> Quarantined and deleted successfully.
C:\Programme\MyCentria\InfoBar (Adware.MyCentria) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\xxx.M-HTDOM003\Lokale Einstellungen\Temp\gchmgm1gv.dll (Trojan.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\xxxx.M-HTDOM003\Startmenü\Programme\Autostart\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxx.M-HTDOM003\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:57:36, on 18.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\XXX.M-HTDOM003\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
O2 - BHO: C:\WINDOWS\system32\w9gm3p5xw.dll - {C2BA40A2-75F1-51BD-F413-04B15A2C8950} - C:\WINDOWS\system32\w9gm3p5xw.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD0.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [xcasbtil] C:\Dokumente und Einstellungen\XXXXeinstellungen\Anwendungsdaten\lxmewlsgx\oljfyffshdw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [newsecureapp70700.exe] C:\Dokumente und Einstellungen\xxxxxx.M-HTDOM003\Anwendungsdaten\402F451F57BFCD10F90B7720463315F5\newsecureapp70700.exe
O4 - HKCU\..\Run: [xcasbtil] C:\Dokumente und Einstellungen\xxxxx.M-HTDOM003\Lokale Einstellungen\Anwendungsdaten\lxmewlsgx\oljfyffshdw.exe
O4 - HKCU\..\Run: [jhaefi8fioasghiusagu4huginfajgkhfig] C:\DOKUME~1\HOFFMA~1.M-H\LOKALE~1\Temp\83904882.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10d.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1221829045875
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: jkzoiefu9s3huishf87efushdjkfgyuisfiud - {C2BA40A2-75F1-51BD-F413-04B15A2C8950} - C:\WINDOWS\system32\w9gm3p5xw.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1ca6ee27e34905e) (gupdate1ca6ee27e34905e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 7975 bytes

cosinus · 19.08.2010, 11:16

Hallo und

Das Log von Malwarebytes ist unvollständig, der Kopf fehlt, bitte vollständig posten!

Kimi22 · 19.08.2010, 11:44

Ich habe Malwarebytes insgesamt drei mal durchlaufen lassen, auch wenn das nichts bringt.

Danke, für die schnelle Antwort. Villeicht kannst du mir ja weiter helfen, cosinus!

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.08.2010 16:22:24
mbam-log-2010-08-17 (16-22-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 212165
Laufzeit: 1 Stunde(n), 11 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 3
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mcexecwin (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\MyCentria (Adware.MyCentria) -> Quarantined and deleted successfully.
C:\Programme\MyCentria\Firefox (Adware.MyCentria) -> Quarantined and deleted successfully.
C:\Programme\MyCentria\InfoBar (Adware.MyCentria) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\xxxx.M-HTDOM003\Lokale Einstellungen\Temp\gchmgm1gv.dll (Trojan.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\xxxxx.M-HTDOM003\Startmenü\Programme\Autostart\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxx.M-HTDOM003\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

17.08.2010 17:48:09
mbam-log-2010-08-17 (17-48-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 218406
Laufzeit: 36 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18.08.2010 15:14:00
mbam-log-2010-08-18 (15-14-00).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 140851
Laufzeit: 10 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus · 19.08.2010, 17:12

Zitat:

Datenbank Version: 4052

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.
Oder konnte das nicht aktualisiert werden?

Kimi22 · 19.08.2010, 22:12

Ich mache jetzt einen aktuellen Vollscan!

Kimi22 · 20.08.2010, 00:30

Super, vielen Dank für deine Hilfe. Du bist der Mann, cosinus.
Eine Menge Stress ist mir erspart geblieben.

Der Pc läuft seit einer Stunde einwandfrei!

Ist der Trojaner denn endgültig vom Pc oder muss ich eine Systemneuinstallation vornehmen?

Hier noch einmal die letzte log Datei:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4450

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.08.2010 00:40:31
mbam-log-2010-08-20 (00-40-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 239049
Laufzeit: 1 Stunde(n), 26 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 31

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{c2ba40a2-75f1-51bd-f413-04b15a2c8950} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c2ba40a2-75f1-51bd-f413-04b15a2c8950} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c2ba40a2-75f1-51bd-f413-04b15a2c8950} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\PriceGong (Adware.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\newsecureapp70700.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jhaefi8fioasghiusagu4huginfajgkhfig (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{c2ba40a2-75f1-51bd-f413-04b15a2c8950} (Trojan.Ertfor) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\xxxx.M-HTDOM003\Anwendungsdaten\PriceGong (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data (Adware.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\402F451F57BFCD10F90B7720463315F5\newsecureapp70700.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Lokale Einstellungen\Temp\83904882.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Lokale Einstellungen\Temp\user.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\1.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\a.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\b.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\c.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\d.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\e.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\f.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\g.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\h.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\i.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\J.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\k.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\l.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\m.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\mru.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\n.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\o.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\p.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\q.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\r.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\s.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\t.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\u.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\v.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\w.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\x.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\y.xml (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\PriceGong\Data\z.xml (Adware.Agent) -> Quarantined and deleted successfully.

cosinus · 20.08.2010, 08:12

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Kimi22 · 20.08.2010, 21:16

Code:

ATTFilter

OTL logfile created on: 20.08.2010 22:02:29 - Run 1
OTL by OldTimer - Version 3.2.10.0     Folder = C:\Dokumente und Einstellungen\xxxxxxxxx.M-HTDOM003\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 622,00 Mb Available Physical Memory | 61,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 29,17 Gb Free Space | 39,14% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: M-HTDOM003
Current User Name: xxxxxx
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
 
========== Processes (SafeList) ==========
 
PRC - [2010.08.20 22:01:49 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxxxxx.M-HTDOM003\Desktop\OTL.exe
PRC - [2010.06.09 10:06:33 | 000,976,832 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
PRC - [2010.01.11 16:21:52 | 000,246,504 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2009.08.28 20:42:54 | 000,144,672 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
PRC - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2008.12.19 18:53:16 | 000,068,856 | ---- | M] (Google Inc.) -- C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
PRC - [2008.10.19 15:30:02 | 000,222,456 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2005.05.26 18:12:26 | 000,544,768 | ---- | M] (Motorola Inc.) -- C:\WINDOWS\sm56hlpr.exe
PRC - [2005.03.18 15:35:46 | 000,098,393 | ---- | M] (Synaptics, Inc.) -- C:\Programme\Synaptics\SynTP\SynTPLpr.exe
PRC - [2005.03.10 09:46:18 | 000,090,112 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\SOUNDMAN.EXE
PRC - [2005.02.25 14:26:06 | 000,589,824 | ---- | M] (VIA Technologies) -- C:\Programme\VIA\RAID\raid_tool.exe
PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.08.20 22:01:49 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxxxxx.M-HTDOM003\Desktop\OTL.exe
MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt)
SRV - [2009.08.28 20:42:54 | 000,144,672 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.10.19 15:30:02 | 000,222,456 | ---- | M] () [Auto | Running] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2009.11.25 12:19:02 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 10:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.11.15 23:43:03 | 000,025,280 | ---- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi)
DRV - [2008.04.13 21:45:12 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\USBAUDIO.sys -- (usbaudio) USB-Audiotreiber (WDM)
DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2008.02.27 16:27:38 | 000,098,432 | ---- | M] (Guillemot Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\camfilt2.sys -- (camfilt2)
DRV - [2007.09.10 09:50:56 | 000,457,984 | ---- | M] (PixArt Imaging Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\PAC7302.SYS -- (PAC7302)
DRV - [2005.06.29 00:01:58 | 001,241,088 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2005.05.26 18:19:18 | 000,839,724 | ---- | M] (Motorola Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\smserial.sys -- (smserial)
DRV - [2005.03.23 16:08:52 | 002,547,008 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2005.03.18 15:22:46 | 000,188,928 | ---- | M] (Synaptics, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SynTP.sys -- (SynTP)
DRV - [2004.12.02 17:36:08 | 000,070,912 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtlnicxp.sys -- (RTL8023xp)
DRV - [2004.10.29 19:48:10 | 003,222,784 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w29n51.sys -- (w29n51) Intel(R)
DRV - [2004.10.27 15:21:30 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 38 88 81 FF 95 2E CB 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:6522
 
 
 
O1 HOSTS File: ([2008.11.15 13:10:15 | 000,000,822 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD0.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {E9911EC6-1BCC-40B0-9993-E0EEA7F6953F} - C:\Programme\DVDVideoSoft\tbDVD0.dll (Conduit Ltd.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [AlcWzrd] C:\WINDOWS\ALCWZRD.EXE (RealTek Semicoductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKLM..\Run: [InstantOn] C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe ()
O4 - HKLM..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe (VIA Technologies)
O4 - HKLM..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe (Motorola Inc.)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab (QuickTime Object)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1221829045875 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\xxxxxx.M-HTDOM003\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\xxxxxx.M-HTDOM003\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.09.19 13:39:26 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.08.20 22:01:44 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxxxxx.M-HTDOM003\Desktop\OTL.exe
[2010.08.20 01:34:04 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx.M-HTDOM003\Recent
[2010.08.18 15:10:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxxxx.M-HTDOM003\Eigene Dateien\Downloads
[2010.08.18 14:13:09 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.08.18 14:04:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\WinRAR
[2010.08.17 14:58:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\Malwarebytes
[2010.08.17 14:58:15 | 000,000,000 | ---D | C] -- C:\Malwarebytes' Anti-Malware
[2010.08.17 14:57:04 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.08.17 14:56:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.08.17 14:56:56 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.08.17 14:56:56 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.08.16 21:05:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Lokale Einstellungen\Anwendungsdaten\lxmewlsgx
[2010.08.16 21:04:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\402F451F57BFCD10F90B7720463315F5
[2010.08.14 05:37:07 | 000,000,000 | -HSD | C] -- C:\found.002
[2010.08.06 19:53:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\vlc
[2010.08.06 19:52:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxxxxxxx.M-HTDOM003\Anwendungsdaten\dvdcss
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.08.20 22:01:49 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxxxxxx.M-HTDOM003\Desktop\OTL.exe
[2010.08.20 21:59:42 | 000,000,874 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.08.20 21:55:30 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.08.20 21:55:29 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.08.20 13:20:06 | 003,145,728 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxx.M-HTDOM003\NTUSER.DAT
[2010.08.20 13:20:06 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxx.M-HTDOM003\ntuser.ini
[2010.08.20 13:19:47 | 004,309,148 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxx.M-HTDOM003\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.08.20 13:16:01 | 000,000,878 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.08.20 01:37:25 | 000,216,381 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxx.M-HTDOM003\Desktop\bretagne_13.jpg
[2010.08.18 18:46:32 | 000,290,088 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.08.18 14:59:47 | 001,065,734 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.08.18 14:59:47 | 000,457,956 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.08.18 14:59:47 | 000,439,360 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.08.18 14:59:47 | 000,084,288 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.08.18 14:59:47 | 000,070,906 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.08.18 13:39:22 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxx.M-HTDOM003\Desktop\iexplore.exe.com
[2010.08.17 16:22:41 | 000,002,564 | ---- | M] () -- C:\WINDOWS\lsrslt.ini
[2010.08.16 22:27:28 | 000,005,632 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxx.M-HTDOM003\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.08.11 12:22:35 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungenxxxxxxxxxxx.M-HTDOM003\Eigene Dateien\mehr Wohnungen.doc
[2010.08.11 12:17:39 | 000,023,040 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxx.M-HTDOM003\Eigene Dateien\2-Zimmer Wohnungen.doc
[2010.08.06 18:34:24 | 000,020,480 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxx.M-HTDOM003\Eigene Dateien\Wohnungen.doc
[2010.08.06 15:58:22 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.27 08:29:42 | 008,503,296 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\shell32.dll
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.08.20 01:37:25 | 000,216,381 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxxx.M-HTDOM003\Desktop\bretagne_13.jpg
[2010.08.18 13:39:19 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxxx.M-HTDOM003\Desktop\iexplore.exe.com
[2010.08.17 16:22:40 | 000,002,564 | ---- | C] () -- C:\WINDOWS\lsrslt.ini
[2010.08.08 13:47:38 | 000,023,040 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxx.M-HTDOM003\Eigene Dateien\2-Zimmer Wohnungen.doc
[2010.08.07 19:52:17 | 000,019,968 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Eigene Dateien\mehr Wohnungen.doc
[2010.08.06 18:34:24 | 000,020,480 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Eigene Dateien\Wohnungen.doc
[2010.06.21 21:00:54 | 000,005,632 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.06.19 01:35:20 | 000,000,152 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009.11.26 23:37:34 | 000,000,566 | ---- | C] () -- C:\WINDOWS\System32\SP7302.INI
[2008.11.20 22:44:26 | 000,042,320 | ---- | C] () -- C:\WINDOWS\System32\xfcodec.dll
[2008.11.01 16:28:31 | 000,000,311 | ---- | C] () -- C:\WINDOWS\game.ini
[2008.09.22 14:05:53 | 000,137,688 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2008.09.19 14:54:48 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.09.19 14:00:49 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2008.09.19 13:58:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\sm56spn.dll
[2008.09.19 13:58:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\sm56itl.dll
[2008.09.19 13:58:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\sm56ger.dll
[2008.09.19 13:58:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\sm56fra.dll
[2008.09.19 13:58:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\sm56eng.dll
[2008.09.19 13:58:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\sm56brz.dll
[2008.09.19 13:58:58 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56jpn.dll
[2008.09.19 13:58:58 | 000,045,056 | ---- | C] () -- C:\WINDOWS\sm56cht.dll
[2008.09.19 13:58:58 | 000,045,056 | ---- | C] () -- C:\WINDOWS\sm56chs.dll
[2008.09.19 13:42:35 | 000,001,082 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2004.08.04 14:00:00 | 000,755,200 | ---- | C] () -- C:\WINDOWS\System32\ir50_32.dll
[2004.08.04 14:00:00 | 000,338,432 | ---- | C] () -- C:\WINDOWS\System32\ir41_qcx.dll
[2004.08.04 14:00:00 | 000,200,192 | ---- | C] () -- C:\WINDOWS\System32\ir50_qc.dll
[2004.08.04 14:00:00 | 000,183,808 | ---- | C] () -- C:\WINDOWS\System32\ir50_qcx.dll
[2004.08.04 14:00:00 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\ir41_qc.dll
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
 
========== LOP Check ==========
 
[2009.11.23 01:21:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2009.01.05 02:15:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2010.01.05 23:38:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2010.08.16 23:25:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxx.M-HTDOM003\Anwendungsdaten\402F451F57BFCD10F90B7720463315F5
[2010.08.16 02:07:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxxx.M-HTDOM003\Anwendungsdaten\ICQ
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 144 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF
< End of report >

Code:

ATTFilter

OTL Extras logfile created on: 20.08.2010 22:02:29 - Run 1
OTL by OldTimer - Version 3.2.10.0     Folder = C:\Dokumente und Einstellungen\xxxxxxxx.M-HTDOM003\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 622,00 Mb Available Physical Memory | 61,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 29,17 Gb Free Space | 39,14% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: M-HTDOM003
Current User Name: xxxxxxxx
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6 -- File not found
"C:\Programme\Valve\Steam\SteamApps\hadrey\counter-strike\hl.exe" = C:\Programme\Valve\Steam\SteamApps\hadrey\counter-strike\hl.exe:*:Enabled:Half-Life Launcher -- (Valve)
"C:\Programme\Xfire\xfire.exe" = C:\Programme\Xfire\xfire.exe:*:Enabled:Xfire -- (Xfire Inc.)
"C:\Programme\Counter-Strike Source\hl2.exe" = C:\Programme\Counter-Strike Source\hl2.exe:*:Enabled:hl2 -- File not found
"C:\Programme\Microsoft Games\Halo\halo.exe" = C:\Programme\Microsoft Games\Halo\halo.exe:*:Enabled:Halo -- File not found
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam(TM)
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Systemsteuerung
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{192A107E-C6B9-41B9-BDBF-38E3AA226054}" = OpenOffice.org 3.2
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 18
"{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{49FC50FC-F965-40D9-89B4-CBFF80941031}" = Windows Movie Maker 2.0
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{75AE638F-750A-11DF-96D5-005056806466}" = Google Earth Plug-in
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7E20EFE6-E604-48C6-8B39-BA4742F2CDB4}" = Zune Desktop Theme
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{91110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A6FDF86A-F541-4E7B-AEA0-8849A2A700D5}" = iTunes
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC76BA86-7AD7-1031-7B44-A92000000001}" = Adobe Reader 9.2 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{BF962E1B-D17A-4713-A100-6531A132D83D}_is1" = Foto-Mosaik-Edda 5.5.10
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{D5F82F8F-4DE2-11D9-A373-0050BAE317E1}" = PowerCinema Linux 4.0
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FD4FE0F7-91FC-43A2-9C3A-187553991FFF}" = Hercules Classic Link Webcam
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DVDVideoSoft Toolbar" = DVDVideoSoft Toolbar
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.2
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.2
"Google Chrome" = Google Chrome
"ICQToolbar" = ICQ Toolbar
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie8" = Windows Internet Explorer 8
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager
"InstallShield_{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch
"InstallShield_{931C37FC-594D-43A9-B10F-A2F2B1F03498}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch
"LHTTSENG" = L&H TTS3000 British English
"LHTTSGED" = L&H TTS3000 Deutsch
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"SMSERIAL" = Motorola SM56 Data Fax Modem
"Steam App 10" = Counter-Strike
"Steam App 220" = Half-Life 2
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"tv_enua" = Lernout & Hauspie TruVoice American English TTS Engine
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VideoLAN VLC media player 0.8.6d
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"Xfire" = Xfire (remove only)
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 11.08.2010 13:42:14 | Computer Name = M-HTDOM003 | Source = LoadPerf | ID = 3001
Description = Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist
 falsch formatiert. Die ungültige Zeichenfolge ist 7982 und der ungültige  Indexwert
 ist das erste DWORD im Datenbereich, während die letzten gültigen  Indexwerte die
 zweiten und dritten DWORD im Datenbereich sind.
 
Error - 11.08.2010 13:42:14 | Computer Name = M-HTDOM003 | Source = LoadPerf | ID = 3001
Description = Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist
 falsch formatiert. Die ungültige Zeichenfolge ist 7982 und der ungültige  Indexwert
 ist das erste DWORD im Datenbereich, während die letzten gültigen  Indexwerte die
 zweiten und dritten DWORD im Datenbereich sind.
 
Error - 11.08.2010 13:42:15 | Computer Name = M-HTDOM003 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 11.08.2010 13:42:18 | Computer Name = M-HTDOM003 | Source = LoadPerf | ID = 3001
Description = Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist
 falsch formatiert. Die ungültige Zeichenfolge ist 7982 und der ungültige  Indexwert
 ist das erste DWORD im Datenbereich, während die letzten gültigen  Indexwerte die
 zweiten und dritten DWORD im Datenbereich sind.
 
Error - 12.08.2010 13:05:15 | Computer Name = M-HTDOM003 | Source = ESENT | ID = 482
Description = wuauclt (2292) Versuch, in Datei "C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.chk"
 bei Offset 0 (0x0000000000000000) für 4096 (0x00001000) Bytes zu schreiben, ist
 mit Systemfehler 1117 (0x0000045d): "Die Anforderung konnte wegen eines E/A-Gerätefehlers
 nicht ausgeführt werden. " fehlgeschlagen. Fehler -1022 (0xfffffc02) bei Schreiboperation.
 Wenn dieser Zustand andauert, ist die Datei möglicherweise beschädigt und muss 
aus einer vorherigen Sicherung wiederhergestellt werden.
 
Error - 12.08.2010 13:05:15 | Computer Name = M-HTDOM003 | Source = ESENT | ID = 439
Description = wuauclt (2292) Die Shadowkopfzeile für Datei C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.chk
 konnte nicht geschrieben werden. Fehler -1022.
 
Error - 12.08.2010 13:06:47 | Computer Name = M-HTDOM003 | Source = ESENT | ID = 482
Description = wuauclt (2292) Versuch, in Datei "C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.chk"
 bei Offset 4096 (0x0000000000001000) für 4096 (0x00001000) Bytes zu schreiben, 
ist mit Systemfehler 1117 (0x0000045d): "Die Anforderung konnte wegen eines E/A-Gerätefehlers
 nicht ausgeführt werden. " fehlgeschlagen. Fehler -1022 (0xfffffc02) bei Schreiboperation.
 Wenn dieser Zustand andauert, ist die Datei möglicherweise beschädigt und muss 
aus einer vorherigen Sicherung wiederhergestellt werden.
 
Error - 12.08.2010 13:08:28 | Computer Name = M-HTDOM003 | Source = ESENT | ID = 439
Description = wuauclt (2292) Die Shadowkopfzeile für Datei C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.chk
 konnte nicht geschrieben werden. Fehler -1022.
 
Error - 17.08.2010 09:16:07 | Computer Name = M-HTDOM003 | Source = Google Update | ID = 20
Description = 
 
Error - 17.08.2010 10:16:06 | Computer Name = M-HTDOM003 | Source = Google Update | ID = 20
Description = 
 
[ System Events ]
Error - 17.08.2010 11:48:43 | Computer Name = M-HTDOM003 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 18.08.2010 07:29:47 | Computer Name = M-HTDOM003 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 18.08.2010 07:30:47 | Computer Name = M-HTDOM003 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   avgio  avipbb  Fips  intelppm  ssmdrv
 
Error - 18.08.2010 07:31:41 | Computer Name = M-HTDOM003 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 18.08.2010 08:04:29 | Computer Name = M-HTDOM003 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 18.08.2010 08:22:19 | Computer Name = M-HTDOM003 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 18.08.2010 08:36:31 | Computer Name = M-HTDOM003 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 18.08.2010 08:55:28 | Computer Name = M-HTDOM003 | Source = viamraid | ID = 262153
Description = Das Gerät \Device\Scsi\viamraid1 hat innerhalb der Fehlerwartezeit
 nicht geantwortet.
 
Error - 19.08.2010 18:43:05 | Computer Name = M-HTDOM003 | Source = viamraid | ID = 262153
Description = Das Gerät \Device\Scsi\viamraid1 hat innerhalb der Fehlerwartezeit
 nicht geantwortet.
 
Error - 19.08.2010 18:43:09 | Computer Name = M-HTDOM003 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   IntelIde
 
 
< End of report >

Okay. Hab ich gemacht!

cosinus · 22.08.2010, 18:02

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:6522
@Alternate Data Stream - 144 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Kimi22 · 22.08.2010, 20:37

Code:

ATTFilter

OTL by OldTimer - Version 3.2.10.0 log created on 08222010_212238

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 12 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: xxxxxx
->Temp folder emptied: 573395646 bytes
->Temporary Internet Files folder emptied: 68273866 bytes
->Java cache emptied: 1372992 bytes
->Google Chrome cache emptied: 370085328 bytes
->Flash cache emptied: 15899070 bytes
 
User: xxxxxxx.M-HTDOM003
->Temp folder emptied: 104914146 bytes
->Temporary Internet Files folder emptied: 69184392 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 331303338 bytes
->Flash cache emptied: 14705 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 6220085 bytes
 
User: xxxxxxx
->Temp folder emptied: 258321379 bytes
->Temporary Internet Files folder emptied: 2945533567 bytes
->Java cache emptied: 7718487 bytes
->Flash cache emptied: 5627 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 912841 bytes
 
User: TEMP
 
User: TEMP.M-HTDOM003
 
User: TEMP.M-HTDOM003.000
 
%systemdrive% .tmp files removed: 508949410 bytes
%systemroot% .tmp files removed: 2293461 bytes
%systemroot%\System32 .tmp files removed: 8506247 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 215103634 bytes
RecycleBin emptied: 5173720 bytes
 
Total Files Cleaned = 5.239,00 mb
 
 
OTL by OldTimer - Version 3.2.10.0 log created on 08222010_212238

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus · 23.08.2010, 12:36

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Kimi22 · 31.08.2010, 19:20

Hat n bischen länger gedauert. Und alles klar bei dir?

Code:

ATTFilter

ComboFix 10-08-31.01 - xxxxxx 31.08.2010  20:04:48.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.504 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxxxxxx.M-HTDOM003\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\402F451F57BFCD10F90B7720463315F5
c:\dokumente und einstellungen\xxxxxx.M-HTDOM003\Anwendungsdaten\402F451F57BFCD10F90B7720463315F5\enemies-names.txt
c:\dokumente und einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\402F451F57BFCD10F90B7720463315F5\local.ini
c:\dokumente und einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\402F451F57BFCD10F90B7720463315F5\lsrslt.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-28 bis 2010-08-31  ))))))))))))))))))))))))))))))
.

2010-08-22 19:22 . 2010-08-22 19:22	--------	d-----w-	C:\_OTL
2010-08-18 12:13 . 2010-08-18 12:13	--------	d-----w-	c:\programme\CCleaner
2010-08-17 14:43 . 2010-08-17 14:43	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-08-17 14:43 . 2010-08-17 14:43	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
2010-08-17 12:58 . 2010-08-17 12:58	--------	d-----w-	c:\dokumente und einstellungen\.M-HTDOM003\Anwendungsdaten\Malwarebytes
2010-08-17 12:58 . 2010-08-17 12:58	--------	d-----w-	C:\Malwarebytes' Anti-Malware
2010-08-17 12:57 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-17 12:56 . 2010-08-17 12:56	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-17 12:56 . 2010-08-17 12:57	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-17 12:56 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-16 19:05 . 2010-08-18 13:00	--------	d-----w-	c:\dokumente und einstellungen\xxxxx.M-HTDOM003\Lokale Einstellungen\Anwendungsdaten\lxmewlsgx
2010-08-14 03:37 . 2010-08-14 03:37	--------	d-----w-	C:\found.002
2010-08-06 18:24 . 2010-08-06 18:24	503808	----a-w-	c:\dokumente und einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-73122f67-n\msvcp71.dll
2010-08-06 18:24 . 2010-08-06 18:24	499712	----a-w-	c:\dokumente und einstellungen\xxxxxx.M-HTDOM003\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-73122f67-n\jmc.dll
2010-08-06 18:24 . 2010-08-06 18:24	348160	----a-w-	c:\dokumente und einstellungen\xxxxxx.M-HTDOM003\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-73122f67-n\msvcr71.dll
2010-08-06 18:24 . 2010-08-06 18:24	61440	----a-w-	c:\dokumente und einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-570a939d-n\decora-sse.dll
2010-08-06 18:24 . 2010-08-06 18:24	12800	----a-w-	c:\dokumente und einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-570a939d-n\decora-d3d.dll
2010-08-06 17:53 . 2010-08-06 17:53	--------	d-----w-	c:\dokumente und einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\vlc
2010-08-06 17:52 . 2010-08-30 18:24	--------	d-----w-	c:\dokumente und einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\dvdcss

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-25 10:05 . 2010-06-21 15:32	74440	----a-w-	c:\dokumente und einstellungen\xxxxxx.M-HTDOM003\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-24 16:10 . 2004-08-04 12:00	84288	----a-w-	c:\windows\system32\perfc007.dat
2010-08-24 16:10 . 2004-08-04 12:00	457956	----a-w-	c:\windows\system32\perfh007.dat
2010-08-23 23:42 . 2010-06-20 18:05	--------	d-----w-	c:\dokumente und einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\ICQ
2010-07-18 16:11 . 2008-12-13 19:41	--------	d-----w-	c:\programme\Google
2010-07-08 22:23 . 2010-07-08 22:23	--------	d-----w-	c:\programme\Foto-Mosaik-Edda
2010-07-06 20:49 . 2010-06-21 15:57	--------	d-----w-	c:\dokumente und einstellungen\xxxxxxxxx.M-HTDOM003\Anwendungsdaten\Apple Computer
2010-06-30 12:28 . 2004-08-04 12:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2004-09-29 18:47	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-04 12:00	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 12:00	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-18 23:35 . 2010-06-18 23:35	152	----a-w-	c:\dokumente und einstellungen\xxxxxxx.M-HTDOM003\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2010-06-17 21:35 . 2010-06-17 21:35	503808	----a-w-	c:\dokumente und einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-25ad6b32-n\msvcp71.dll
2010-06-17 21:35 . 2010-06-17 21:35	499712	----a-w-	c:\dokumente und einstellungen\xxxxxxxx.M-HTDOM003\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-25ad6b32-n\jmc.dll
2010-06-17 21:35 . 2010-06-17 21:35	348160	----a-w-	c:\dokumente und einstellungen\xxxxxxx.M-HTDOM003\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-25ad6b32-n\msvcr71.dll
2010-06-17 21:35 . 2010-06-17 21:35	61440	----a-w-	c:\dokumente und einstellungen\xxxxxx.M-HTDOM003\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-4ae4ed22-n\decora-sse.dll
2010-06-17 21:35 . 2010-06-17 21:35	12800	----a-w-	c:\dokumente und einstellungen\xxxxxxxxx.M-HTDOM003\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-4ae4ed22-n\decora-d3d.dll
2010-06-17 14:03 . 2004-08-04 12:00	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2008-09-19 11:37	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2004-08-04 12:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
2010-06-06 16:22 . 2010-03-07 11:28	664	----a-w-	c:\windows\system32\d3d9caps.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-06-21 2736736]

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-06-21 2736736]

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-19 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 61952]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-01-11 246504]
"RaidTool"="c:\programme\VIA\RAID\raid_tool.exe" [2005-02-25 589824]
"SoundMan"="SOUNDMAN.EXE" [2005-03-10 90112]
"AlcWzrd"="ALCWZRD.EXE" [2005-03-10 2803712]
"SMSERIAL"="sm56hlpr.exe" [2005-05-26 544768]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217]
"InstantOn"="c:\program files\CyberLink\PowerCinema Linux\ion_install.exe" [2005-05-11 93640]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-04-15 45056]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 344064]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\hadrey\\counter-strike\\hl.exe"=
"c:\\Programme\\Xfire\\xfire.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [09.01.2010 14:11 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [23.11.2009 01:21 222456]
S2 gupdate1ca6ee27e34905e;Google Update Service (gupdate1ca6ee27e34905e);c:\programme\Google\Update\GoogleUpdate.exe [26.11.2009 23:50 133104]
S3 camfilt2;camfilt2;c:\windows\system32\drivers\camfilt2.sys [26.11.2009 23:37 98432]
.
Inhalt des "geplante Tasks" Ordners

2010-08-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-08-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-11-26 21:50]

2010-08-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-11-26 21:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ActiveSetup-{9F65F1C9-8BF9-3376-B955-ED780D08E130} - c:\windows\system32\systemdata.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-31 20:08
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  RaidTool = c:\programme\VIA\RAID\raid_tool.exe?h?? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(544)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-08-31  20:11:46
ComboFix-quarantined-files.txt  2010-08-31 18:11

Vor Suchlauf: 15 Verzeichnis(se), 35.987.886.080 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 36.147.658.752 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - EACC31483706AEF8461A795C17C1A715

cosinus · 31.08.2010, 20:34

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Folder::
C:\found.002

Registry::
[-HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

19.08.2010, 11:16	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Security Suite und Antimalware doctor lassen sich nicht entfernen Hallo und Das Log von Malwarebytes ist unvollständig, der Kopf fehlt, bitte vollständig posten! __________________ __________________

Security Suite und Antimalware doctor lassen sich nicht entfernen

Plagegeister aller Art und deren Bekämpfung: Security Suite und Antimalware doctor lassen sich nicht entfernen