Google-Links führen zu Werbeseiten

ABM12 · 14.11.2010, 11:56

Hallo erstmal,

ich habe ein Problem mit meinem Rechner und wende mich an dieses Forum, da es auf mich den besten und kompetentesten Eindruck gemacht hat.

Ich habe ein Problem, das schon vielfach im Internet beschrieben wird, aber wozu ich keine allgemein gültige Lösungsstrategie finden konnte (deshalb hoffe ich, ich werde nich gleich zerrissen, weil es das Problem schon gibt). Google öffnet häufig falsche Links in Pop-ups, die mich auf Werbeseiten (wie Preissuchmaschinen) führen. Was ich jedoch gesehen habe, dass immer dazu geraten wurde, den Hijack-Scan zu posten, was ich an dieser Stelle auch tue. Komischerweise habe ich vor einigen Tagen C: formatiert (meine einzige Partition) und Windows XP neu installiert und trotzdem habe ich das Problem noch. Ich hoffe, mir kann jemand helfen. Vielen Dank schonmal.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:33:26, on 14.11.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\******\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gmx.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CTAPR2] "C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" /r
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [SPIRun] Rundll32 SPIRun.dll,RunDLLEntry
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [KB923561] rundll32.exe apphelp.dll,ShimFlushCache
O4 - HKLM\..\RunOnce: [KB955759] rundll32.exe apphelp.dll,ShimFlushCache
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} (Creative Software AutoUpdate Support Package) - hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPID.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 5447 bytes

Swisstreasure · 14.11.2010, 14:01

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Gmer startet automatisch einen ersten Scan.

Sollte sich ein Fenster mit folgender Warnung öffnen:

Code:

ATTFilter

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

Unbedingt auf "No" klicken,
in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.

.
Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
Wenn der Scan fertig ist, bleibt die Zeile leer.
Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

ABM12 · 14.11.2010, 20:29

Hallo,

vielen Dank für die ausführliche Hilfe! Also:

Extras.txt:OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 14.11.2010 16:12:00 - Run 1
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\******\Desktop
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 181,83 Gb Free Space | 78,08% Space Free | Partition Type: NTFS
 
Computer Name: KINDERZIMMER | User Name: ****** | NOT logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{083F79E4-6FE9-46FB-A6C6-4F8862742947}" = ATI HYDRAVISION
"{0C9D0200-FA32-44B7-BBB3-7C03F700C4A0}" = Sound Blaster X-Fi
"{11083C7A-D0D6-4DA4-8C3A-74B8389EC07B}" = ATI Catalyst Registration
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2CE5A2E7-3437-4CE7-BCF4-85ED6EEFF9E4}" = iTunes
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{6F42FC6B-947B-9B89-29B0-545F0815AD7F}" = ATI Parental Control & Encoder
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{8ACC73AA-6511-7C55-B1A9-8E5D1DEAFAA3}" = The Lord of the Rings FREE Trial 
"{8D70145A-3BD3-4DBF-9CBF-223EF4A43257}" = ATI Parental Control & Encoder
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{91120000-001A-0000-0000-0000000FF1CE}" = Microsoft Office Outlook 2007
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{94FB906A-CF42-4128-A509-D353026A607E}" = REALTEK Gigabit and Fast Ethernet NIC Driver
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.0 - Deutsch
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CCA1EEA3-555E-4D05-AC46-4B49C6C5D887}" = Apple Mobile Device Support
"{DAEAFD68-BB4A-4507-A241-C8804D2EA66D}" = Apple Application Support
"{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime
"{E74138F2-5F04-4E4F-8389-419E012C9B4C}" = ATI Catalyst Control Center
"{FF1C31AE-0CDC-40CE-AB85-406F8B70D643}" = Bonjour
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"AudioCS" = Creative Audio-Systemsteuerung
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Creative Software AutoUpdate" = Creative Software AutoUpdate
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"Host OpenAL" = Host OpenAL
"ie8" = Windows Internet Explorer 8
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"OUTLOOKR" = Microsoft Office Outlook 2007
"Windows XP Service Pack" = Windows XP Service Pack 3
 
========== Last 10 Event Log Errors ==========
 
Error: Unable to start EventLog service!
 
< End of report >

--- --- ---

OTL.txt:OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 14.11.2010 16:12:00 - Run 1
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\******\Desktop
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 181,83 Gb Free Space | 78,08% Space Free | Partition Type: NTFS
 
Computer Name: KINDERZIMMER | User Name: ****** | NOT logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2010.11.14 16:10:04 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\******\Desktop\OTL.exe
PRC - [2010.08.02 16:09:32 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.02.28 17:50:50 | 000,180,224 | ---- | M] (Creative Technology Ltd) -- C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
PRC - [2007.02.15 16:39:26 | 000,057,344 | ---- | M] (Creative Technology Ltd) -- C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe
PRC - [2006.01.02 17:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.11.14 16:10:04 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\******\Desktop\OTL.exe
 
 
========== Win32 Services (SafeList) ==========
 
 
========== Driver Services (SafeList) ==========
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gmx.net/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
O1 HOSTS File: ([2004.08.10 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)
O4 - HKLM..\Run: [ATICustomerCare] C:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CTAPR2] C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe (Creative Technology Ltd)
O4 - HKLM..\Run: [SPIRun] C:\WINDOWS\System32\SPIRun.dll (Creative Technology Ltd.)
O4 - HKLM..\Run: [VolPanel] C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe (Creative Technology Ltd)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab (Creative Software AutoUpdate Support Package)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPID.cab (Creative Software AutoUpdate Support Package)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 213.109.68.118 213.109.77.60
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.11.11 22:29:09 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)

 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.11.14 16:10:04 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\******\Desktop\OTL.exe
[2010.11.14 13:26:39 | 000,000,000 | ---D | C] -- C:\WINDOWS\SHELLNEW
[2010.11.14 13:24:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood
[2010.11.14 13:21:42 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Works
[2010.11.14 13:21:33 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Visual Studio
[2010.11.14 13:21:33 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DESIGNER
[2010.11.14 13:21:20 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft.NET
[2010.11.14 13:19:21 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Office
[2010.11.14 13:19:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
[2010.11.14 13:18:43 | 000,000,000 | RH-D | C] -- C:\MSOCache
[2010.11.14 11:27:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch
[2010.11.14 11:14:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\l2schemas
[2010.11.14 11:14:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de
[2010.11.14 11:14:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\bits
[2010.11.14 11:10:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\network diagnostic
[2010.11.14 11:06:51 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$NtServicePackUninstall$
[2010.11.14 11:03:57 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\******\Desktop\HijackThis.exe
[2010.11.14 10:55:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Adobe
[2010.11.12 20:22:06 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Creative Labs Shared
[2010.11.12 19:42:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Apple
[2010.11.12 19:30:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Apple Computer
[2010.11.12 19:24:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Apple Computer
[2010.11.12 19:18:03 | 000,000,000 | ---D | C] -- C:\Programme\iPod
[2010.11.12 19:17:45 | 000,000,000 | ---D | C] -- C:\Programme\iTunes
[2010.11.12 19:17:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010.11.12 19:15:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Avira
[2010.11.12 19:14:21 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2010.11.12 19:14:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
[2010.11.12 19:12:47 | 000,000,000 | ---D | C] -- C:\Programme\Apple Software Update
[2010.11.12 19:12:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\DRVSTORE
[2010.11.12 19:10:22 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour
[2010.11.12 19:09:38 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Apple
[2010.11.12 19:09:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
[2010.11.12 18:47:10 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\******\Eigene Dateien\Eigene Videos
[2010.11.12 18:36:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
[2010.11.12 18:36:18 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe
[2010.11.12 18:36:18 | 000,000,000 | ---D | C] -- C:\Programme\Adobe
[2010.11.12 18:28:14 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Adobe
[2010.11.12 18:22:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Macromedia
[2010.11.12 18:20:32 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\******\IECompatCache
[2010.11.12 18:20:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Adobe
[2010.11.12 18:19:58 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\******\PrivacIE
[2010.11.12 18:11:30 | 000,000,000 | ---D | C] -- C:\WINDOWS\ServicePackFiles
[2010.11.12 18:08:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Creative
[2010.11.12 18:08:04 | 000,809,496 | ---- | C] (Creative Labs Inc.) -- C:\WINDOWS\OALInst.exe
[2010.11.12 18:08:02 | 001,803,136 | ---- | C] (Creative) -- C:\WINDOWS\System32\drivers\t3filt.sys
[2010.11.12 18:07:41 | 000,444,952 | ---- | C] (Creative Labs) -- C:\WINDOWS\System32\wrap_oal.dll
[2010.11.12 18:06:07 | 000,000,000 | ---D | C] -- C:\Programme\Creative
[2010.11.12 17:59:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.11.12 17:55:32 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2010.11.12 17:55:31 | 000,126,856 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.11.12 17:55:31 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.11.12 17:55:31 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.11.12 17:55:31 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.11.12 17:55:30 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2010.11.12 17:55:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2010.11.12 17:30:49 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\******\Eigene Dateien\Eigene Dokumente
[2010.11.12 17:30:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\ATI
[2010.11.12 17:30:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\ATI
[2010.11.12 17:30:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
[2010.11.12 17:30:32 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\******\IETldCache
[2010.11.12 17:18:17 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\ATI Technologies
[2010.11.12 17:15:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\URTTemp
[2010.11.12 16:57:52 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates
[2010.11.12 16:57:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\WBEM
[2010.11.12 16:56:21 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2010.11.12 16:56:21 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de-DE
[2010.11.11 23:38:52 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$MSI31Uninstall_KB893803v2$
[2010.11.11 23:38:38 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\PreInstall
[2010.11.11 23:34:44 | 000,000,000 | ---D | C] -- C:\Programme\ATI Technologies
[2010.11.11 23:34:41 | 000,000,000 | ---D | C] -- C:\Programme\ATI
[2010.11.11 23:34:07 | 000,000,000 | ---D | C] -- C:\ATI
[2010.11.11 23:18:49 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.11.11 23:04:07 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$hf_mig$
[2010.11.11 23:00:25 | 000,000,000 | R-SD | C] -- C:\WINDOWS\Fonts
[2010.11.11 23:00:25 | 000,000,000 | RHSD | C] -- C:\WINDOWS\System32\dllcache
[2010.11.11 23:00:25 | 000,000,000 | R--D | C] -- C:\WINDOWS\Web
[2010.11.11 23:00:25 | 000,000,000 | -H-D | C] -- C:\WINDOWS\inf
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\WinSxS
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\wins
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\wbem
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\usmt
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\twain_32
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\Temp
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\system32
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\system
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\spool
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ShellExt
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Setup
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\security
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\Resources
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\repair
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ras
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\Provisioning
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\PeerNet
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\pchealth
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\oobe
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\npp
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\mui
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\mui
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\msapps
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\msagent
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\Media
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\java
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\inetsrv
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\IME
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\ime
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\icsxml
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ias
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\Help
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\export
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\etc
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\ehome
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\Driver Cache
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\disdn
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\dhcp
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\Debug
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\Cursors
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\Connection Wizard
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\config
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\Config
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\AppPatch
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\addins
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\3com_dmi
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\3076
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\2052
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1054
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1042
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1041
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1037
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1033
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1031
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1028
[2010.11.11 23:00:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1025
[2010.11.11 22:54:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Eigene Dateien\Systemsicherung_******
[2010.11.11 22:52:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\SoftwareDistribution
[2010.11.11 22:41:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\OPTIONS
[2010.11.11 22:38:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ReinstallBackups
[2010.11.11 22:38:19 | 000,000,000 | -H-D | C] -- C:\Programme\InstallShield Installation Information
[2010.11.11 22:38:16 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\InstallShield
[2010.11.11 22:37:20 | 000,000,000 | ---D | C] -- C:\Programme\MSXML 4.0
[2010.11.11 22:37:03 | 000,000,000 | ---D | C] -- C:\TempEI4
[2010.11.11 22:34:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Identities
[2010.11.11 22:33:55 | 000,000,000 | -H-D | C] -- C:\Programme\Uninstall Information
[2010.11.11 22:33:53 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\******\Eigene Dateien\Eigene Musik
[2010.11.11 22:33:52 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\******\Eigene Dateien
[2010.11.11 22:33:52 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\******\Eigene Dateien\Eigene Bilder
[2010.11.11 22:33:49 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Microsoft
[2010.11.11 22:33:49 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\******\SendTo
[2010.11.11 22:33:49 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\******\Recent
[2010.11.11 22:33:49 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\******\Anwendungsdaten
[2010.11.11 22:33:49 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\******\Startmenü
[2010.11.11 22:33:49 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\******\Favoriten
[2010.11.11 22:33:49 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\******\Cookies
[2010.11.11 22:33:49 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\******\Vorlagen
[2010.11.11 22:33:49 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\******\Netzwerkumgebung
[2010.11.11 22:33:49 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen
[2010.11.11 22:33:49 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\******\Druckumgebung
[2010.11.11 22:33:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2010.11.11 22:33:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\******\Desktop
[2010.11.11 22:32:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen
[2010.11.11 22:32:49 | 000,000,000 | ---D | C] -- C:\WINDOWS\SoftwareDistribution
[2010.11.11 22:32:45 | 000,000,000 | --SD | C] -- C:\WINDOWS\System32\Microsoft
[2010.11.11 22:29:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xircom
[2010.11.11 22:29:26 | 000,000,000 | ---D | C] -- C:\Programme\xerox
[2010.11.11 22:29:26 | 000,000,000 | ---D | C] -- C:\Programme\microsoft frontpage
[2010.11.11 22:28:00 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\DRM
[2010.11.11 22:27:52 | 000,000,000 | --SD | C] -- C:\WINDOWS\Downloaded Program Files
[2010.11.11 22:27:52 | 000,000,000 | R--D | C] -- C:\WINDOWS\Offline Web Pages
[2010.11.11 22:27:42 | 000,000,000 | -H-D | C] -- C:\Programme\WindowsUpdate
[2010.11.11 22:27:38 | 000,000,000 | ---D | C] -- C:\Programme\Online-Dienste
[2010.11.11 22:27:21 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\DirectX
[2010.11.11 22:26:42 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Dienste
[2010.11.11 22:26:39 | 000,000,000 | --SD | C] -- C:\WINDOWS\Tasks
[2010.11.11 22:26:38 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\MSSoap
[2010.11.11 22:26:33 | 000,000,000 | ---D | C] -- C:\WINDOWS\srchasst
[2010.11.11 22:26:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Macromed
[2010.11.11 22:26:09 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Restore
[2010.11.11 22:26:01 | 000,000,000 | ---D | C] -- C:\Programme\NetMeeting
[2010.11.11 22:25:57 | 000,000,000 | ---D | C] -- C:\Programme\Outlook Express
[2010.11.11 22:25:50 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\System
[2010.11.11 22:25:44 | 000,000,000 | ---D | C] -- C:\Programme\Internet Explorer
[2010.11.11 22:24:20 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik
[2010.11.11 22:23:43 | 000,000,000 | R-SD | C] -- C:\WINDOWS\assembly
[2010.11.11 22:23:10 | 000,000,000 | ---D | C] -- C:\Programme\ComPlus Applications
[2010.11.11 22:23:03 | 000,000,000 | ---D | C] -- C:\WINDOWS\Registration
[2010.11.11 22:22:57 | 000,000,000 | ---D | C] -- C:\Programme\Online Services
[2010.11.11 22:22:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\Microsoft.NET
[2010.11.11 22:22:32 | 000,000,000 | ---D | C] -- C:\Programme\Windows Media Player
[2010.11.11 22:22:03 | 000,000,000 | ---D | C] -- C:\Programme\Windows Plus
[2010.11.11 22:21:42 | 000,000,000 | ---D | C] -- C:\Programme\Movie Maker
[2010.11.11 22:20:20 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder
[2010.11.11 22:19:18 | 000,000,000 | ---D | C] -- C:\Programme\Messenger
[2010.11.11 22:19:14 | 000,000,000 | ---D | C] -- C:\Programme\MSN Gaming Zone
[2010.11.11 22:18:31 | 000,000,000 | ---D | C] -- C:\Programme\MSN
[2010.11.11 22:18:29 | 000,000,000 | ---D | C] -- C:\Programme\Windows NT
[2010.11.11 22:18:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\MsDtc
[2010.11.11 22:18:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Com
[2010.11.11 22:18:08 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Videos
[2010.11.11 22:10:35 | 000,000,000 | -HSD | C] -- C:\WINDOWS\Installer
[2010.11.11 22:10:34 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\ODBC
[2010.11.11 22:10:30 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\SpeechEngines
[2010.11.11 22:10:29 | 000,000,000 | R--D | C] -- C:\Programme
[2010.11.11 22:10:29 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared
[2010.11.11 22:10:29 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien
[2010.11.11 22:10:04 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü
[2010.11.11 22:10:04 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente
[2010.11.11 22:10:04 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Vorlagen
[2010.11.11 22:10:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Favoriten
[2010.11.11 22:10:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Desktop
[2010.11.11 22:09:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\CatRoot2
[2010.11.11 22:09:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\CatRoot
[2010.11.11 22:09:46 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
[2010.11.11 22:09:46 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
[2010.11.11 22:09:14 | 000,000,000 | -HSD | C] -- C:\System Volume Information
[2010.11.11 22:09:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.11.14 16:10:04 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\******\Desktop\OTL.exe
[2010.11.14 16:04:01 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.11.14 16:03:57 | 2145,964,032 | -HS- | M] () -- C:\hiberfil.sys
[2010.11.14 16:03:57 | 000,147,608 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.11.14 13:22:39 | 000,394,806 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.11.14 13:22:39 | 000,383,424 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.11.14 13:22:39 | 000,064,716 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.11.14 13:22:39 | 000,053,778 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.11.14 11:27:58 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.11.14 11:25:29 | 000,003,031 | ---- | M] () -- C:\WINDOWS\System32\spupdsvc.inf
[2010.11.14 11:10:24 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2010.11.14 11:03:57 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\******\Desktop\HijackThis.exe
[2010.11.12 20:22:49 | 000,000,917 | RH-- | M] () -- C:\WINDOWS\ctfile.rfc
[2010.11.12 20:21:27 | 000,000,584 | ---- | M] () -- C:\WINDOWS\System32\settingsbkup.sfm
[2010.11.12 20:21:27 | 000,000,584 | ---- | M] () -- C:\WINDOWS\System32\settings.sfm
[2010.11.12 20:21:13 | 000,444,952 | ---- | M] (Creative Labs) -- C:\WINDOWS\System32\wrap_oal.dll
[2010.11.12 19:13:11 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.11.12 18:55:56 | 000,015,872 | ---- | M] () -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.12 17:30:35 | 000,000,139 | ---- | M] () -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.11.12 16:56:11 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.bak
[2010.11.11 22:32:36 | 000,008,192 | ---- | M] () -- C:\WINDOWS\REGLOCS.OLD
[2010.11.11 22:31:35 | 000,000,261 | ---- | M] () -- C:\WINDOWS\System32\$winnt$.inf
[2010.11.11 22:29:09 | 000,002,951 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT
[2010.11.11 22:29:09 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2010.11.11 22:29:09 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2010.11.11 22:29:09 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2010.11.11 22:29:09 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2010.11.11 22:29:03 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2010.11.11 22:29:03 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2010.11.11 22:29:02 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
[2010.11.11 22:28:54 | 000,004,161 | ---- | M] () -- C:\WINDOWS\ODBCINST.INI
[2010.11.11 22:23:18 | 000,021,740 | ---- | M] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.11.11 22:18:08 | 000,000,209 | -HS- | M] () -- C:\boot.ini
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.11.14 11:58:49 | 2145,964,032 | -HS- | C] () -- C:\hiberfil.sys
[2010.11.14 11:18:09 | 000,003,031 | ---- | C] () -- C:\WINDOWS\System32\spupdsvc.inf
[2010.11.12 20:20:58 | 000,000,534 | ---- | C] () -- C:\WINDOWS\SB1042.reg
[2010.11.12 20:20:58 | 000,000,534 | ---- | C] () -- C:\WINDOWS\SB1040.reg
[2010.11.12 19:13:10 | 000,000,276 | ---- | C] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.11.12 18:51:30 | 000,015,872 | ---- | C] () -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.12 18:09:46 | 000,007,062 | ---- | C] () -- C:\WINDOWS\System32\audiopid.vxd
[2010.11.12 18:09:12 | 000,004,626 | ---- | C] () -- C:\WINDOWS\System32\AudioDrv.ini
[2010.11.12 18:09:01 | 000,000,584 | ---- | C] () -- C:\WINDOWS\System32\settingsbkup.sfm
[2010.11.12 18:09:01 | 000,000,584 | ---- | C] () -- C:\WINDOWS\System32\settings.sfm
[2010.11.12 18:08:59 | 000,033,080 | ---- | C] () -- C:\WINDOWS\System32\t3.ini
[2010.11.12 18:08:59 | 000,000,049 | R--- | C] () -- C:\WINDOWS\System32\ctzapxx.ini
[2010.11.12 18:08:49 | 000,000,059 | ---- | C] () -- C:\WINDOWS\System32\default4.sfm
[2010.11.12 18:08:04 | 000,008,535 | ---- | C] () -- C:\WINDOWS\sfsyn.ini
[2010.11.12 18:08:04 | 000,001,046 | ---- | C] () -- C:\WINDOWS\SB0820.reg
[2010.11.12 18:08:04 | 000,000,938 | ---- | C] () -- C:\WINDOWS\SB0710.reg
[2010.11.12 18:08:03 | 000,145,920 | ---- | C] () -- C:\WINDOWS\System32\OemSpi.dll
[2010.11.12 18:08:03 | 000,118,850 | ---- | C] () -- C:\WINDOWS\System32\CTPcie.dll
[2010.11.12 18:08:01 | 000,000,917 | RH-- | C] () -- C:\WINDOWS\ctfile.rfc
[2010.11.12 18:07:53 | 007,572,224 | ---- | C] () -- C:\WINDOWS\System32\CT8MGM.SF2
[2010.11.12 18:07:51 | 004,174,814 | ---- | C] () -- C:\WINDOWS\System32\ct4mgm.sf2
[2010.11.12 18:07:50 | 002,167,684 | ---- | C] () -- C:\WINDOWS\System32\CT2MGM.SF2
[2010.11.12 18:07:45 | 000,105,472 | ---- | C] () -- C:\WINDOWS\System32\APOMngr.dll
[2010.11.12 18:07:45 | 000,067,072 | ---- | C] () -- C:\WINDOWS\System32\CmdRtr.dll
[2010.11.12 18:04:23 | 000,067,866 | ---- | C] () -- C:\WINDOWS\System32\drivers\netwlan5.img
[2010.11.12 18:04:17 | 000,129,045 | ---- | C] () -- C:\WINDOWS\System32\drivers\cxthsfs2.cty
[2010.11.12 18:03:56 | 000,064,352 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativmc20.cod
[2010.11.12 17:30:35 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.11.12 17:13:45 | 000,520,192 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe
[2010.11.12 17:13:36 | 000,006,005 | R--- | C] () -- C:\WINDOWS\System32\atifglpf.xml
[2010.11.12 17:13:35 | 000,121,995 | R--- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2010.11.12 17:13:33 | 001,114,674 | R--- | C] () -- C:\WINDOWS\System32\drivers\ativcaxx.cpa
[2010.11.12 17:13:33 | 000,000,929 | R--- | C] () -- C:\WINDOWS\System32\drivers\ativcaxx.vp
[2010.11.12 17:13:32 | 000,058,560 | R--- | C] () -- C:\WINDOWS\System32\drivers\ativckxx.vp
[2010.11.12 17:13:32 | 000,027,504 | R--- | C] () -- C:\WINDOWS\System32\drivers\ativvpxx.vp
[2010.11.12 16:56:12 | 000,013,646 | ---- | C] () -- C:\WINDOWS\System32\wpa.bak
[2010.11.11 23:08:14 | 000,000,209 | -HS- | C] () -- C:\boot.ini
[2010.11.11 23:08:10 | 000,000,261 | ---- | C] () -- C:\WINDOWS\System32\$winnt$.inf
[2010.11.11 22:32:36 | 000,008,192 | ---- | C] () -- C:\WINDOWS\REGLOCS.OLD
[2010.11.11 22:31:35 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.11.11 22:29:09 | 000,002,951 | ---- | C] () -- C:\WINDOWS\System32\CONFIG.NT
[2010.11.11 22:29:09 | 000,000,000 | RHS- | C] () -- C:\MSDOS.SYS
[2010.11.11 22:29:09 | 000,000,000 | RHS- | C] () -- C:\IO.SYS
[2010.11.11 22:29:09 | 000,000,000 | ---- | C] () -- C:\CONFIG.SYS
[2010.11.11 22:29:09 | 000,000,000 | ---- | C] () -- C:\AUTOEXEC.BAT
[2010.11.11 22:29:03 | 000,023,392 | ---- | C] () -- C:\WINDOWS\System32\nscompat.tlb
[2010.11.11 22:29:03 | 000,016,832 | ---- | C] () -- C:\WINDOWS\System32\amcompat.tlb
[2010.11.11 22:29:02 | 000,316,640 | ---- | C] () -- C:\WINDOWS\WMSysPr9.prx
[2010.11.11 22:26:53 | 000,048,680 | -HS- | C] () -- C:\WINDOWS\winnt256.bmp
[2010.11.11 22:26:53 | 000,048,680 | -HS- | C] () -- C:\WINDOWS\winnt.bmp
[2010.11.11 22:23:18 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.11.11 22:22:02 | 000,011,729 | ---- | C] () -- C:\WINDOWS\System32\mypixdx.chm
[2010.11.11 22:19:00 | 000,065,954 | ---- | C] () -- C:\WINDOWS\Präriewind.bmp
[2010.11.11 22:19:00 | 000,065,832 | ---- | C] () -- C:\WINDOWS\Santa Fe-Stuck.bmp
[2010.11.11 22:19:00 | 000,026,680 | ---- | C] () -- C:\WINDOWS\Fächer.bmp
[2010.11.11 22:19:00 | 000,026,582 | ---- | C] () -- C:\WINDOWS\Granit.bmp
[2010.11.11 22:19:00 | 000,017,362 | ---- | C] () -- C:\WINDOWS\Rhododendron.bmp
[2010.11.11 22:19:00 | 000,017,336 | ---- | C] () -- C:\WINDOWS\Angler.bmp
[2010.11.11 22:19:00 | 000,009,522 | ---- | C] () -- C:\WINDOWS\Zapotek.bmp
[2010.11.11 22:18:59 | 000,065,978 | ---- | C] () -- C:\WINDOWS\Seifenblase.bmp
[2010.11.11 22:18:59 | 000,017,062 | ---- | C] () -- C:\WINDOWS\Kaffeetasse.bmp
[2010.11.11 22:18:59 | 000,016,730 | ---- | C] () -- C:\WINDOWS\Feder.bmp
[2010.11.11 22:18:59 | 000,001,272 | ---- | C] () -- C:\WINDOWS\Blaue Spitzen 16.bmp
[2010.11.11 22:18:56 | 000,003,286 | ---- | C] () -- C:\WINDOWS\System32\tslabels.h
[2010.11.11 22:18:56 | 000,001,237 | ---- | C] () -- C:\WINDOWS\System32\usrlogon.cmd
[2010.11.11 22:18:55 | 000,000,768 | ---- | C] () -- C:\WINDOWS\System32\msdtcprf.h
[2010.11.11 22:18:49 | 000,063,488 | ---- | C] () -- C:\WINDOWS\System32\wmimgmt.msc
[2010.11.11 22:10:34 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.11.11 22:10:13 | 000,001,806 | ---- | C] () -- C:\WINDOWS\System32\AUTOEXEC.NT
[2010.11.11 22:09:14 | 000,147,608 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
 
========== LOP Check ==========
 
[2010.11.12 19:20:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2010.11.11 22:29:09 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2010.11.11 22:18:08 | 000,000,209 | -HS- | M] () -- C:\boot.ini
[2004.08.10 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2010.11.11 22:29:09 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2010.11.14 16:03:57 | 2145,964,032 | -HS- | M] () -- C:\hiberfil.sys
[2010.11.11 22:38:37 | 000,000,090 | ---- | M] () -- C:\INF.log
[2010.11.11 22:29:09 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2010.11.11 22:44:18 | 000,000,224 | ---- | M] () -- C:\LAN.log
[2010.11.11 22:29:09 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2004.08.10 13:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2010.11.14 11:10:24 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2010.11.14 16:03:56 | 2145,386,496 | -HS- | M] () -- C:\pagefile.sys
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2010.11.11 22:28:36 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2006.10.26 19:56:12 | 000,033,104 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\msonpppr.dll
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[3 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\Tasks\*.job /lockedfiles >
[2010.11.12 19:13:11 | 000,000,276 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
 
< %systemroot%\System32\config\*.sav >
[2010.11.11 23:08:13 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2010.11.11 23:08:13 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2010.11.11 23:08:13 | 000,434,176 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
[3 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 03:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
[3 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\system32\ws2help.dll /md5 >
[2008.04.14 03:22:32 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll
[3 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
 
< MD5 for: EXPLORER.EXE  >
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\explorer.exe
 
< MD5 for: WINLOGON.EXE  >
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2010-11-14 10:25:31

< End of report >

--- --- ---

Und den GMER-Log soll ich in dem verlinkten Thread posten? Oder hier? Falls hier:

GMER.log:

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-11-14 20:23:14
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-7 SAMSUNG_SP2504C rev.VT100-41
Running: b5loievu.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\uftiypog.sys


---- System - GMER 1.0.15 ----

SSDT   BA7642D6                                ZwCreateKey
SSDT   BA7642CC                                ZwCreateThread
SSDT   BA7642DB                                ZwDeleteKey
SSDT   BA7642E5                                ZwDeleteValueKey
SSDT   BA7642EA                                ZwLoadKey
SSDT   BA7642B8                                ZwOpenProcess
SSDT   BA7642BD                                ZwOpenThread
SSDT   BA7642F4                                ZwReplaceKey
SSDT   BA7642EF                                ZwRestoreKey
SSDT   BA7642E0                                ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!ZwCallbackReturn + 2D58    805045F4 4 Bytes  JMP F8BA7642 
init   C:\WINDOWS\system32\drivers\t3filt.sys  entry point in "init" section [0xA96EEA40]

---- EOF - GMER 1.0.15 ----

--- --- ---

Ich hoffe, ich mache nicht allzu viel Mühe.

Swisstreasure · 14.11.2010, 20:53

Schritt 1

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Hacken bei Yes, i accept the Terms of Use.
Drücke den Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
Logfile hier posten.

ABM12 · 15.11.2010, 13:56

Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.11.2010 12:51:41
mbam-log-2010-11-15 (12-51-41).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 120890
Laufzeit: 5 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

ESET:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=9a054a19b876194ca3d65cd78107650b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-11-15 12:52:08
# local_time=2010-11-15 01:52:08 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 93 244510 26356394 238481 0
# compatibility_mode=8192 67108863 100 0 4211 4211 0 0
# scanned=69984
# found=0
# cleaned=0
# scan_time=2354

Swisstreasure · 15.11.2010, 19:25

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

ABM12 · 15.11.2010, 21:26

Und hier mein Combo-Fix-Log:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-11-14.04 - Admin 15.11.2010  21:13:07.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1578 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((   Dateien erstellt von 2010-10-15 bis 2010-11-15  ))))))))))))))))))))))))))))))
.

2010-11-14 12:18 . 2010-11-14 12:18	--------	d-----r-	C:\MSOCache

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 11:22 . 2004-08-10 12:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-08-10 12:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-08-10 12:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-08-10 12:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2004-08-10 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2004-08-10 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2004-08-10 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-09-08 10:17 . 2010-09-08 10:17	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-09-08 10:17 . 2010-09-08 10:17	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-09-01 11:50 . 2004-08-10 12:00	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2004-08-10 12:00	1852928	----a-w-	c:\windows\system32\win32k.sys
2010-08-27 08:01 . 2004-08-10 12:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2004-08-10 12:00	99840	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 06:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2004-08-10 12:00	357248	----a-w-	c:\windows\system32\drivers\srv.sys
2010-08-23 16:11 . 2004-08-10 12:00	617472	----a-w-	c:\windows\system32\comctl32.dll
.

------- Sigcheck -------

[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"ATICustomerCare"="c:\programme\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-05-04 311296]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"CTAPR2"="c:\programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" [2007-02-15 57344]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-02-28 180224]
"SPIRun"="SPIRun.dll" [2009-03-05 8704]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-09-24 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.11.2010 17:55 135336]
R3 t3;Sound Blaster X-Fi Xtreme Audio;c:\windows\system32\drivers\t3.sys [12.11.2010 18:08 742936]
R3 t3filt;t3filt;c:\windows\system32\drivers\t3filt.sys [12.11.2010 18:08 1803136]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [12.11.2010 20:22 79360]
.
Inhalt des "geplante Tasks" Ordners

2010-11-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gmx.net/
uInternet Settings,ProxyOverride = *.local
DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} - hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Sound Blaster X-Fi Windows Drivers - c:\programme\Creative\Sound Blaster X-Fi\Program\SETUP.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-15 21:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  SPIRun = Rundll32 SPIRun.dll,RunDLLEntry? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(816)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-11-15  21:22:35
ComboFix-quarantined-files.txt  2010-11-15 20:22

Vor Suchlauf: 6 Verzeichnis(se), 192.109.641.728 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 193.453.735.936 Bytes frei

- - End Of File - - FBEB0271351C9A49724C6ADF3087F0C8

--- --- ---

Swisstreasure · 15.11.2010, 21:39

Schritt 1

Recovery Console installieren

Lege die Windows XP CD ein.
Start->Ausführen->X:\i386\winnt32.exe /cmdcons (X durch den Buchstaben vom CD Laufwerk ersetzten)->Ok
Stimme der folgenden Frage, ob du die Recovery Console installieren möchtest, mit Yes zu.
Klick nach Beendigung der Installation Ok und nimm die XP CD aus dem Laufwerk.

Schritt 2

Combofix mit Skript laufen lassen

Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
Danach wieder anstellen nicht vergessen!
Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:

Code:

ATTFilter

KillAll::

RegNull::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist.
.

.
In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

ABM12 · 15.11.2010, 22:31

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-11-14.04 - Admin 15.11.2010  22:14:32.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1584 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\Combo-Fix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Admin\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-10-15 bis 2010-11-15  ))))))))))))))))))))))))))))))
.

2010-11-14 12:18 . 2010-11-14 12:18	--------	d-----r-	C:\MSOCache

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 11:22 . 2004-08-10 12:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-08-10 12:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-08-10 12:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-08-10 12:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2004-08-10 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2004-08-10 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2004-08-10 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-09-08 10:17 . 2010-09-08 10:17	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-09-08 10:17 . 2010-09-08 10:17	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-09-01 11:50 . 2004-08-10 12:00	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2004-08-10 12:00	1852928	----a-w-	c:\windows\system32\win32k.sys
2010-08-27 08:01 . 2004-08-10 12:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2004-08-10 12:00	99840	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 06:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2004-08-10 12:00	357248	----a-w-	c:\windows\system32\drivers\srv.sys
2010-08-23 16:11 . 2004-08-10 12:00	617472	----a-w-	c:\windows\system32\comctl32.dll
.

------- Sigcheck -------

[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"ATICustomerCare"="c:\programme\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-05-04 311296]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"CTAPR2"="c:\programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" [2007-02-15 57344]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-02-28 180224]
"SPIRun"="SPIRun.dll" [2009-03-05 8704]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-09-24 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.11.2010 17:55 135336]
R3 t3;Sound Blaster X-Fi Xtreme Audio;c:\windows\system32\drivers\t3.sys [12.11.2010 18:08 742936]
R3 t3filt;t3filt;c:\windows\system32\drivers\t3filt.sys [12.11.2010 18:08 1803136]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [12.11.2010 20:22 79360]
.
Inhalt des "geplante Tasks" Ordners

2010-11-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gmx.net/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} - hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-11-15 22:22
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  SPIRun = Rundll32 SPIRun.dll,RunDLLEntry? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(816)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2404)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Creative\Shared Files\CTAudSvc.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\Rundll32.exe
c:\windows\eHome\ehmsas.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-15  22:26:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-15 21:26
ComboFix2.txt  2010-11-15 20:22

Vor Suchlauf: 7 Verzeichnis(se), 192.988.418.048 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 192.998.055.936 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

- - End Of File - - 679B7D42782376D045B98265C398003A

--- --- ---

Swisstreasure · 15.11.2010, 22:36

Mach einmal eine Rückmeldung wie es läuft. Ich nehme an die Pop Ups kommen noch? Bei IE oder FF oder beiden?

ABM12 · 15.11.2010, 22:40

Ich benutze nur den IE 8 zum sufen. Das Problem besteht leider weiterhin. Ob ein Fortschritt zu verzeichnen ist, kann ich leider nicht beurteilen, da ich ja im Prinzip keine Ahnung habe, was ich genau gemacht habe.

Swisstreasure · 15.11.2010, 22:43

Wirst Du auch weitergeleitet. Das heisst wenn Du bei goolge auf einen Link klickst, geht es dann auf eine andere Seite?

Schritt 1

Proxy deaktivieren

IE => Extras => Internetoptionen => Verbindungen => Lan-Einstellungen
Haken bei Proxyserver für LAN verwenden und Proxyserver für lokale Adressen umgehen entfernen

Firefox => Extras => Einstellungen => Erweitert => Netzwerk => Einstellungen.
Dort unter Verbindungs-Einstellungen => Kein Proxy anhaken.

Schritt 2

Rkill anwenden

Download rkill.com auf den Desktop Desktop.
Starte per Doppelklick rkill.com und führe das Programm aus (kann etwas dauern)…
Am Ende wird das schwarze Fenster von rkill.com automatisch geschlossen.
Wenn eine Meldung von Deiner Sicherheitslösung kommt rkill.com sei Malware, erlaube rkill.com als „Ausnahme“.
Bitte poste mir das Logfile.

Schritt 3

Kaspersky Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
Bitte während des Scans alle Hintergrundwächter abstellen/deaktivieren.
Java muss installiert, aktiv und erlaubt sein.
Bebilderte Anleitung von sundavis.
Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.

Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
Die Datenschutzerklärung akzeptieren.
Programm installieren lassen.
Update der Signaturen installieren lassen.
Wenn der Status "Complete" ist,
Scan-Einstellungen (Settings) Standard lassen
Links den Link "My Computer" anklicken.
Scan beginnt automatisch.
Wenn der Scan fertig ist, auf "View scan report" klicken,
"Save report as" und Dateityp auf .txt umstellen,
und auf dem Desktop als Kaspersky.txt speichern.
Logdatei hier posten.
Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

ABM12 · 15.11.2010, 22:48

Schon mal das rkill logfile, obwohl ich mir nicht sicher bin, ob das so richtig ist, weil so gut wie nichts drin steht:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Admin on 15.11.2010 at 22:47:52.

Services Stopped:

Processes terminated by Rkill or while it was running:

C:\Dokumente und Einstellungen\Admin\Desktop\rkill.com

Rkill completed on 15.11.2010 at 22:47:55.

Swisstreasure · 15.11.2010, 22:50

War bei Schritt 1 das mit Proxy angehackt?

ABM12 · 15.11.2010, 22:53

Ähm nein, ich dachte, bei beiden Optionen hacken entfernen. Mit Haken bei Proxy-Server kommt das bei raus.

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Admin on 15.11.2010 at 22:53:01.

Services Stopped:

Processes terminated by Rkill or while it was running:

C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z6P35RUR\JavaSetup6u22[1].exe
C:\Dokumente und Einstellungen\Admin\Desktop\rkill.com

Rkill completed on 15.11.2010 at 22:53:04.

15.11.2010, 22:36	#10
Swisstreasure /// Malwareteam	Google-Links führen zu Werbeseiten Mach einmal eine Rückmeldung wie es läuft. Ich nehme an die Pop Ups kommen noch? Bei IE oder FF oder beiden?

15.11.2010, 22:50	#14
Swisstreasure /// Malwareteam	Google-Links führen zu Werbeseiten War bei Schritt 1 das mit Proxy angehackt?

Google-Links führen zu Werbeseiten

Log-Analyse und Auswertung: Google-Links führen zu Werbeseiten