Trojaner-Board - failed to save all components for the file \\system32\\00001891........

hallo an alle,
ich hatte eine frage dazu, wie ich folgendes problem beheben kann: war ganz gewöhnlich am surfen, bis sich plötzlich alle fenster schlossen und anschließend (mehrmals hitereinander) folgende meldung kam....
"failed to save all components for the file \\system32\\00001891. the file is corrupted or unreadable. this error may be caused by a pc hardware problem"

als ich den rechner neu gestartet hab, waren alle programme und dateien verschwunden+schwarzer hintergrund!!!task manager kann nicht geöffnet werden und wenn ich auf "start" klicke, ist dort nichts vorhanden.....(betriebssystem: windows XP, sp3).....

hab zwar das thema auf... "http://www.trojaner-board.de/105054-...m32-00-a.html" gefunden, wollte jedoch nichts falsches tun.....

ich hoffe, ihr könnt mir helfen, das problem zu beseitigen!!!

mfg
Levent

OTL.txt:OTL Logfile:

Code:

OTL logfile created on: 25.03.2012 16:40:39 - Run 1

OTL by OldTimer - Version 3.2.39.2     Folder = C:\Dokumente und Einstellungen\Levent\Eigene Dateien\Downloads

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.5512)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1014,42 Mb Total Physical Memory | 462,63 Mb Available Physical Memory | 45,60% Memory free

2,38 Gb Paging File | 1,86 Gb Available in Paging File | 78,11% Paging File free

Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS.0 | %ProgramFiles% = C:\Programme

Drive C: | 149,05 Gb Total Space | 127,70 Gb Free Space | 85,68% Space Free | Partition Type: NTFS

 

Computer Name: BAUHUETTE-909 | User Name: Levent | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\Levent\Eigene Dateien\Downloads\OTL(3).exe (OldTimer Tools)

PRC - C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\g0ubkRdGbSDBkg.exe ( )

PRC - C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\XCMsXSJotCWrp.exe ( )

PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

PRC - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

PRC - C:\Programme\Firebird\Firebird_2_5\bin\fbguard.exe (Firebird Project)

PRC - C:\Programme\Firebird\Firebird_2_5\bin\fbserver.exe (Firebird Project)

PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)

PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()

PRC - C:\WINDOWS.0\explorer.exe (Microsoft Corporation)

 

 
 ========== Modules (No Company Name) ==========

 

MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()

MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU ()

MOD - C:\Programme\DivX\DivX Update\DivXUpdateCheck.dll ()

MOD - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()

MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()

MOD - C:\WINDOWS.0\system32\msdmo.dll ()

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (FirebirdGuardianDefaultInstance) -- C:\Programme\Firebird\Firebird_2_5\bin\fbguard.exe (Firebird Project)

SRV - (FirebirdServerDefaultInstance) -- C:\Programme\Firebird\Firebird_2_5\bin\fbserver.exe (Firebird Project)

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (WDICA) --  File not found

DRV - (PDRFRAME) --  File not found

DRV - (PDRELI) --  File not found

DRV - (PDFRAME) --  File not found

DRV - (PDCOMP) --  File not found

DRV - (PCIDump) --  File not found

DRV - (lbrtfdc) --  File not found

DRV - (i2omgmt) --  File not found

DRV - (Changer) --  File not found

DRV - (avipbb) -- C:\WINDOWS.0\system32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgntflt) -- C:\WINDOWS.0\system32\drivers\avgntflt.sys (Avira GmbH)

DRV - (ssmdrv) -- C:\WINDOWS.0\system32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)

DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS.0\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)

DRV - (RTL8023xp) -- C:\WINDOWS.0\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation                           )

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=384ec4f5000000000000001c25591485&tlver=1.4.19.19&affID=17160

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS.0\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.ask.com/?l=dis&o=14597

IE - HKCU\..\SearchScopes,DefaultScope = {1F096B29-E9DA-4D64-8D63-936BE7762CC5}

IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=&apn_ptnrs=FV&apn_dtid=YYYYYYYYDE&apn_uid=31491393-f728-4050-99af-0136e7864a8f&apn_sauid=A488D0F2-AF98-4ABD-B559-EF491C1BEE60

IE - HKCU\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=384ec4f5000000000000001c25591485&tlver=1.4.19.19&affID=17160

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..browser.search.useDBForOrder: true

FF - prefs.js..browser.startup.homepage: "about:home"

FF - prefs.js..keyword.URL: "hxxp://search.babylon.com/?babsrc=toolbar2&q="

FF - prefs.js..network.proxy.type: 0

FF - user.js - File not found

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS.0\system32\Macromed\Flash\NPSWF32.dll ()

FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)

FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)

FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8117.0416: C:\Programme\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@rim.com/npappworld: C:\Programme\Research In Motion Limited\BlackBerry App World Browser Plugin\npappworld.dll ()

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\html5video [2011.06.16 03:49:26 | 000,000,000 | -H-D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Programme\DivX\DivX Plus Web Player\firefox\wpa [2011.06.16 03:49:27 | 000,000,000 | -H-D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.03.19 11:27:54 | 000,000,000 | -H-D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.06.19 23:29:49 | 000,000,000 | -H-D | M]

 

[2012.02.27 11:06:56 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Extensions

[2012.03.22 21:59:42 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\k7ta3k23.default\extensions

[2012.01.03 01:19:16 | 000,000,000 | -H-D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\k7ta3k23.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}

[2011.11.13 17:54:10 | 000,000,000 | -H-D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\LEVENT\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\K7TA3K23.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI

() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\LEVENT\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\K7TA3K23.DEFAULT\EXTENSIONS\ICH@MALTEGOETZ.DE.XPI

[2012.03.19 11:27:53 | 000,097,208 | -H-- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll

[2011.06.13 03:46:11 | 000,476,904 | -H-- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll

[2012.02.11 11:42:44 | 000,001,392 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml

[2011.06.28 01:51:26 | 000,002,423 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\babylon.xml

[2012.02.11 11:42:43 | 000,002,252 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml

[2012.02.11 11:42:43 | 000,001,153 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml

[2012.02.11 11:42:43 | 000,006,805 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml

[2012.02.11 11:42:43 | 000,001,178 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml

[2012.02.11 11:42:43 | 000,001,105 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | -H-- | M]) - C:\WINDOWS.0\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)

O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)

O2 - BHO: (Help the General-Search Project) - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Media Finder\Extensions\gencrawler_gc.dll ()

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS.0\Alcmtr.exe (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

O4 - HKLM..\Run: [XCMsXSJotCWrp.exe] C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\XCMsXSJotCWrp.exe ( )

O4 - HKCU..\Run: [Media Finder] "C:\Programme\Media Finder\MF.exe" /opentotray File not found

O4 - HKCU..\Run: [vasja] C:\DOKUME~1\Levent\LOKALE~1\Temp\0.2462752224479382.exe File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O8 - Extra context menu item: Download with &Media Finder - C:\Programme\Media Finder\hook.html File not found

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class)

O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 149.201.10.30 149.201.77.53

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{57C3BF25-A363-4604-9E01-5A30728D5B7D}: DhcpNameServer = 149.201.10.30 149.201.77.53

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS.0\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS.0\system32\userinit.exe) - C:\WINDOWS.0\system32\userinit.exe (Microsoft Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Levent\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Levent\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.11.26 20:33:42 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2012.03.25 16:34:38 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Levent\Recent

[2012.03.25 15:08:47 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Levent\Startmenü\Programme\System Check

[2012.02.27 12:24:16 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Levent\Lokale Einstellungen\Anwendungsdaten\Research In Motion

[2012.02.27 12:20:17 | 000,000,000 | -H-D | C] -- C:\Programme\Research In Motion Limited

[2012.02.27 12:20:17 | 000,000,000 | -H-D | C] -- C:\Programme\Gemeinsame Dateien\Research In Motion

[2012.02.27 11:07:06 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Levent\Desktop\Download

[2012.02.27 11:06:57 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Startmenü\Programme\Media Finder

[2012.02.27 11:06:56 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Media Finder

 
 ========== Files - Modified Within 30 Days ==========

 

[2012.03.25 15:54:46 | 000,000,264 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\~g0ubkRdGbSDBkg

[2012.03.25 15:54:46 | 000,000,176 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\~g0ubkRdGbSDBkgr

[2012.03.25 15:54:12 | 000,013,728 | -H-- | M] () -- C:\WINDOWS.0\System32\wpa.dbl

[2012.03.25 15:54:12 | 000,000,408 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\g0ubkRdGbSDBkg

[2012.03.25 15:53:14 | 000,001,086 | -H-- | M] () -- C:\WINDOWS.0\tasks\GoogleUpdateTaskMachineCore.job

[2012.03.25 15:53:07 | 000,002,048 | --S- | M] () -- C:\WINDOWS.0\bootstat.dat

[2012.03.25 15:52:00 | 000,001,090 | -H-- | M] () -- C:\WINDOWS.0\tasks\GoogleUpdateTaskMachineUA.job

[2012.03.25 15:13:23 | 000,460,392 | -H-- | M] () -- C:\WINDOWS.0\System32\perfh007.dat

[2012.03.25 15:13:23 | 000,442,500 | -H-- | M] () -- C:\WINDOWS.0\System32\perfh009.dat

[2012.03.25 15:13:23 | 000,084,794 | -H-- | M] () -- C:\WINDOWS.0\System32\perfc007.dat

[2012.03.25 15:13:23 | 000,069,534 | -H-- | M] () -- C:\WINDOWS.0\System32\perfc009.dat

[2012.03.25 15:08:50 | 000,000,897 | -H-- | M] () -- C:\Dokumente und Einstellungen\Levent\Desktop\System Check.lnk

[2012.03.25 15:08:28 | 000,361,472 | -H-- | M] ( ) -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\g0ubkRdGbSDBkg.exe

[2012.03.25 15:02:08 | 000,450,048 | -H-- | M] ( ) -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\XCMsXSJotCWrp.exe

[2012.03.15 04:19:20 | 000,094,272 | -H-- | M] () -- C:\WINDOWS.0\System32\FNTCACHE.DAT

[2012.03.15 04:00:39 | 000,001,374 | -H-- | M] () -- C:\WINDOWS.0\imsins.BAK

[2012.03.12 19:57:53 | 000,067,345 | -H-- | M] () -- C:\Dokumente und Einstellungen\Levent\Desktop\Formelsammlung_Technische_Mechanik_Umrechnungstafeln.pdf

[2012.02.29 18:10:12 | 000,791,204 | -H-- | M] () -- C:\Dokumente und Einstellungen\Levent\Desktop\Stammbaum_Merowinger.pdf

 
 ========== Files Created - No Company Name ==========

 

[2012.03.25 15:34:05 | 000,001,891 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\Google Earth.lnk

[2012.03.25 15:34:05 | 000,001,721 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\DivX Plus Converter.lnk

[2012.03.25 15:34:05 | 000,001,718 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\Adobe Reader X.lnk

[2012.03.25 15:34:05 | 000,001,671 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\Avira AntiVir Control Center.lnk

[2012.03.25 15:34:05 | 000,000,757 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\DivX Plus Player.lnk

[2012.03.25 15:34:05 | 000,000,696 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\Mozilla Firefox.lnk

[2012.03.25 15:34:05 | 000,000,691 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\VLC media player.lnk

[2012.03.25 15:34:05 | 000,000,615 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\FriloSystemNext.lnk

[2012.03.25 15:08:50 | 000,000,897 | -H-- | C] () -- C:\Dokumente und Einstellungen\Levent\Desktop\System Check.lnk

[2012.03.25 15:08:47 | 000,000,264 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\~g0ubkRdGbSDBkg

[2012.03.25 15:08:47 | 000,000,176 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\~g0ubkRdGbSDBkgr

[2012.03.25 15:08:39 | 000,000,408 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\g0ubkRdGbSDBkg

[2012.03.25 15:08:28 | 000,361,472 | -H-- | C] ( ) -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\g0ubkRdGbSDBkg.exe

[2012.03.25 15:05:17 | 000,450,048 | -H-- | C] ( ) -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\XCMsXSJotCWrp.exe

[2012.03.12 19:57:52 | 000,067,345 | -H-- | C] () -- C:\Dokumente und Einstellungen\Levent\Desktop\Formelsammlung_Technische_Mechanik_Umrechnungstafeln.pdf

[2012.02.29 18:10:11 | 000,791,204 | -H-- | C] () -- C:\Dokumente und Einstellungen\Levent\Desktop\Stammbaum_Merowinger.pdf

[2012.02.15 08:59:10 | 000,003,072 | -H-- | C] () -- C:\WINDOWS.0\System32\iacenc.dll

[2012.02.01 01:36:25 | 000,000,664 | -H-- | C] () -- C:\WINDOWS.0\System32\d3d9caps.dat

[2012.01.28 00:42:17 | 000,001,812 | -H-- | C] () -- C:\Dokumente und Einstellungen\Levent\Lokale Einstellungen\Anwendungsdaten\FriloWebInfo.html

[2012.01.28 00:36:02 | 000,001,199 | -H-- | C] () -- C:\Dokumente und Einstellungen\Levent\Lokale Einstellungen\Anwendungsdaten\anzeige.htm

[2011.10.12 03:12:51 | 000,000,118 | -H-- | C] () -- C:\WINDOWS.0\System32\MRT.INI

[2011.06.27 19:55:51 | 000,013,824 | -H-- | C] () -- C:\Dokumente und Einstellungen\Levent\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2011.06.09 20:29:31 | 000,004,249 | -H-- | C] () -- C:\WINDOWS.0\ODBCINST.INI

[2011.06.09 20:28:28 | 000,094,272 | -H-- | C] () -- C:\WINDOWS.0\System32\FNTCACHE.DAT

[2011.06.09 20:27:11 | 000,000,000 | -H-- | C] () -- C:\WINDOWS.0\nsreg.dat

[2011.06.09 20:20:19 | 000,147,456 | -H-- | C] () -- C:\WINDOWS.0\System32\igfxCoIn_v4885.dll

[2011.06.09 20:15:03 | 000,049,152 | -H-- | C] () -- C:\WINDOWS.0\System32\ChCfg.exe

[2011.06.09 19:40:38 | 000,002,048 | --S- | C] () -- C:\WINDOWS.0\bootstat.dat

[2011.06.09 19:35:26 | 000,021,740 | -H-- | C] () -- C:\WINDOWS.0\System32\emptyregdb.dat

 
 ========== LOP Check ==========

 

[2012.01.28 00:41:57 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\5a4cf8ca-080e-48f6-b512-229638b7ce10

[2012.01.28 00:43:09 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\firebird

[2012.01.28 00:41:34 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Frilo2010

[2011.06.27 20:15:07 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Audacity

[2011.06.28 01:54:54 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\BabylonToolbar

[2011.06.16 03:50:43 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\DDMSettings

[2012.02.27 11:12:24 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Media Finder

[2011.09.20 23:43:25 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\Notepad++

[2011.06.28 01:51:42 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Levent\Anwendungsdaten\XMedia Recode

 
 ========== Purity Check ==========

 

 
 

< End of report >

--- --- ---

Report:

Combofix Logfile:

Code:

ComboFix 12-03-26.02 - Levent 26.03.2012  16:10:38.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.754 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Levent\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\~g0ubkRdGbSDBkg

c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\~g0ubkRdGbSDBkgr

c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\FriloUnzipProtocol.txt

c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\g0ubkRdGbSDBkg

c:\dokumente und einstellungen\Levent\WINDOWS

C:\recycle.bin

C:\Washer2.rar

c:\washer2.rar\config.bin

c:\washer2.rar\Washer2.rar.exe

c:\windows.0\IsUn0407.exe

C:\YouMeetWeWo

c:\youmeetwewo\config.bin

.

c:\windows.0\system32\srsvc.dll . . . ist infiziert!!

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-02-26 bis 2012-03-26  ))))))))))))))))))))))))))))))

.

.

2012-03-25 13:08 . 2012-03-25 13:08        361472        ---ha-w-        c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\g0ubkRdGbSDBkg.exe

2012-03-19 09:27 . 2012-03-19 09:27        592824        ---ha-w-        c:\programme\Mozilla Firefox\gkmedias.dll

2012-03-19 09:27 . 2012-03-19 09:27        44472        ---ha-w-        c:\programme\Mozilla Firefox\mozglue.dll

2012-02-27 10:24 . 2012-02-27 10:24        --------        d--h--w-        c:\dokumente und einstellungen\Levent\Lokale Einstellungen\Anwendungsdaten\Research In Motion

2012-02-27 10:20 . 2012-02-27 10:20        --------        d--h--w-        c:\programme\Research In Motion Limited

2012-02-27 10:20 . 2012-02-27 10:20        --------        d--h--w-        c:\programme\Gemeinsame Dateien\Research In Motion

2012-02-27 09:06 . 2012-02-27 09:12        --------        d--h--w-        c:\dokumente und einstellungen\Levent\Anwendungsdaten\Media Finder

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-02-03 09:57 . 2008-04-14 05:23        1860224        ---ha-w-        c:\windows.0\system32\win32k.sys

2012-01-31 08:49 . 2012-01-31 08:49        22784        ---ha-w-        c:\windows.0\system32\drivers\RimUsb.sys

2012-01-11 19:06 . 2012-02-15 06:59        3072        ---h--w-        c:\windows.0\system32\iacenc.dll

2012-01-09 16:20 . 2011-06-09 17:34        139784        ---ha-w-        c:\windows.0\system32\drivers\rdpwd.sys

2012-03-19 09:27 . 2011-06-09 18:26        97208        ---ha-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

.

[-] 2009-06-10 . 530FB55113C114B82E785A2A7DF58EA2 . 1571840 . . [5.1.2600.5512] . . c:\windows.0\system32\sfcfiles.dll

.

.

c:\windows.0\System32\srsvc.dll ... Fehlt !!

c:\windows.0\System32\regsvc.dll ... Fehlt !!

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2008-04-10 16861184]

"IgfxTray"="c:\windows.0\system32\igfxtray.exe" [2007-11-08 141848]

"HotKeysCmds"="c:\windows.0\system32\hkcmd.exe" [2007-11-08 166424]

"Persistence"="c:\windows.0\system32\igfxpers.exe" [2007-11-08 137752]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-03-28 281768]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]

"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_3"="advpack.dll" [2008-04-14 102400]

.

c:\dokumente und einstellungen\Levent  Akarcay\Startmenü\Programme\Autostart\

OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

.

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Programme\\Frilo\\R-2011-2-SL1\\FLM.exe"=

.

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.11.2009 21:48 136360]

R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\programme\Firebird\Firebird_2_5\bin\fbguard.exe -s DefaultInstance --> c:\programme\Firebird\Firebird_2_5\bin\fbguard.exe -s DefaultInstance [?]

R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\programme\Firebird\Firebird_2_5\bin\fbserver.exe -s DefaultInstance --> c:\programme\Firebird\Firebird_2_5\bin\fbserver.exe -s DefaultInstance [?]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows.0\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 14:16 130384]

S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [26.12.2011 16:37 136176]

S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [26.12.2011 16:37 136176]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows.0\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 14:16 753504]

.

Inhalt des "geplante Tasks" Ordners

.

2012-03-26 c:\windows.0\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2011-12-26 14:37]

.

2012-03-26 c:\windows.0\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2011-12-26 14:37]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://de.ask.com/?l=dis&o=14597

IE: Download with &Media Finder - c:\programme\Media Finder\hook.html

TCP: DhcpNameServer = 149.201.10.30 149.201.77.53

FF - ProfilePath - c:\dokumente und einstellungen\Levent\Anwendungsdaten\Mozilla\Firefox\Profiles\k7ta3k23.default\

FF - prefs.js: browser.startup.homepage - about:home

FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=toolbar2&q=

FF - prefs.js: network.proxy.type - 0

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

HKCU-Run-Media Finder - c:\programme\Media Finder\MF.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-03-26 16:16

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-03-26  16:18:07

ComboFix-quarantined-files.txt  2012-03-26 14:18

.

Vor Suchlauf: 2 Verzeichnis(se), 136.678.969.344 Bytes frei

Nach Suchlauf: 13 Verzeichnis(se), 137.297.416.192 Bytes frei

.

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

.

- - End Of File - - 5ADD339949AF1992B16BE3FADD654EC6

--- --- ---