Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Sirefef.xx trojaner gefunden (https://www.trojaner-board.de/117659-sirefef-xx-trojaner-gefunden.html)

jochsi 20.06.2012 13:02
Sirefef.xx trojaner gefunden
 
Hallo und HELP!!!
habe auf meinem System mehrere Fundmeldungen von MSE bekommen. Zuvor ließ sich der Dienst von MSE nicht mehr starten. Woraufhin ich ihn neu installiert habe. Nach jedem Fund entfernt er ihn und will nen Neustart. Nur findet er immer wieder neue. Ich vermute, dass da einiges nicht mehr rund läuft. Bevor ich jetzt wild das reparieren anfange, frag ich mal nach vorher um nichts falsch zu machen.
Das System sollte möglichst erhalten bleiben, ist haufen zeugs drauf.

Danke für eure Hilfe!!!

Hier die Logfiles: (die anderen als txt bzw log im Anhang)

Otl.txt

OTL logfile created on: 20.06.2012 12:09:19 - Run 1
OTL by OldTimer - Version 3.2.50.0 Folder = F:\TrojanerTools
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

958,48 Mb Total Physical Memory | 527,70 Mb Available Physical Memory | 55,06% Memory free
2,26 Gb Paging File | 1,88 Gb Available in Paging File | 83,23% Paging File free
Paging file location(s): C:\pagefile.sys 1440 2880 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 108,78 Gb Total Space | 75,28 Gb Free Space | 69,21% Space Free | Partition Type: NTFS
Drive E: | 40,26 Gb Total Space | 10,22 Gb Free Space | 25,38% Space Free | Partition Type: FAT32
Drive F: | 963,72 Mb Total Space | 962,75 Mb Free Space | 99,90% Space Free | Partition Type: FAT

Computer Name: DANIS-LAPTOPWXP | User Name: Dani | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2012.06.20 10:29:46 | 000,596,992 | ---- | M] (OldTimer Tools) -- F:\TrojanerTools\OTL.exe
PRC - [2012.05.25 13:24:38 | 000,537,240 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\taxaktuell.exe
PRC - [2012.03.26 17:08:12 | 000,931,200 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe
PRC - [2012.03.26 17:03:40 | 000,258,712 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\MpCmdRun.exe
PRC - [2012.03.26 17:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\MsMpEng.exe
PRC - [2011.05.18 08:18:50 | 000,099,896 | ---- | M] (HP) -- C:\WINDOWS\system32\HPSIsvc.exe
PRC - [2010.05.11 16:58:04 | 000,247,352 | ---- | M] (HP) -- C:\Programme\HP\HP LaserJet M1210 MFP Series\ReceiveFaxUtility.exe
PRC - [2009.10.15 19:43:42 | 000,030,264 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\HP\HP UT LEDM\bin\hppusg.exe
PRC - [2009.10.15 12:13:50 | 000,136,192 | ---- | M] (HP) -- C:\Programme\HP\HPLaserJetService\HPLaserJetService.exe
PRC - [2008.07.25 06:48:38 | 000,062,912 | ---- | M] (CANON INC.) -- C:\WINDOWS\system32\CNAC4RPK.EXE
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2004.02.24 17:35:06 | 002,372,760 | ---- | M] (Sygate Technologies, Inc.) -- C:\Programme\Sygate\SPF\Smc.exe


========== Modules (No Company Name) ==========

MOD - [2012.06.14 08:52:17 | 011,817,472 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\dbc413807cb7360b3e26ef3ca1d54f9a\System.Web.ni.dll
MOD - [2012.06.14 08:52:04 | 000,212,992 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\8b84bb74d7724e147a642a1d5358feb7\System.ServiceProcess.ni.dll
MOD - [2012.06.14 08:51:53 | 001,712,128 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.VisualBas#\359fd69eb60e9844ffd497e92345178c\Microsoft.VisualBasic.ni.dll
MOD - [2012.06.14 08:45:07 | 012,433,920 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\01abbadafaf265d9f4ac9bbb247acb98\System.Windows.Forms.ni.dll
MOD - [2012.06.14 08:44:42 | 001,592,320 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\d86f2038209a4cf0d0f5b30f6375c9b2\System.Drawing.ni.dll
MOD - [2012.06.14 08:38:50 | 000,303,104 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.Runtime.Remoting\2.0.0.0__b77a5c561934e089\System.Runtime.Remoting.dll
MOD - [2012.05.25 13:26:14 | 002,992,280 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\wcore12.dll
MOD - [2012.05.25 13:25:43 | 007,941,784 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\wgui12.dll
MOD - [2012.05.25 13:24:53 | 001,546,392 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\wsteu12.dll
MOD - [2012.05.25 13:24:53 | 000,319,640 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\rsguiwinapi47.dll
MOD - [2012.05.25 13:24:47 | 000,275,096 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\rscorewinapi47.dll
MOD - [2012.05.25 13:24:38 | 000,537,240 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\taxaktuell.exe
MOD - [2012.05.25 13:24:25 | 004,449,432 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\wauff12.dll
MOD - [2012.05.25 13:24:24 | 000,135,832 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\rsodbc47.dll
MOD - [2012.05.25 13:24:20 | 000,028,672 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\rsdcom47.dll
MOD - [2012.05.25 13:24:19 | 002,013,848 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\wfvie12.dll
MOD - [2012.05.25 13:22:49 | 001,651,352 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\wreli12.dll
MOD - [2012.05.09 12:53:39 | 000,311,296 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\a644ec04e18202b60f9d828bc207972b\System.Runtime.Serialization.Formatters.Soap.ni.d ll
MOD - [2012.05.09 12:51:57 | 000,971,264 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\3d5b7368bde0f65aa15d9f46b498cc89\System.Configuration.ni.dll
MOD - [2012.05.09 12:41:41 | 005,450,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\3bba1b8b0b5ef0be238b011cc7a0575e\System.Xml.ni.dll
MOD - [2012.05.09 12:36:08 | 007,953,408 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\e4b5afc4da43b1c576f9322f9f2e1bfe\System.ni.dll
MOD - [2012.05.09 12:35:18 | 011,492,352 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\e337c89bc9f81b69d7237aa70e935900\mscorlib.ni.dll
MOD - [2012.01.25 11:01:03 | 000,720,896 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\qtsqlrs47.dll
MOD - [2011.11.04 13:47:20 | 000,865,280 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\qtcluceners47.dll
MOD - [2011.11.04 13:47:18 | 000,271,872 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\phononrs47.dll
MOD - [2011.11.04 13:47:16 | 011,163,648 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\qtwebkitrs47.dll
MOD - [2011.11.04 13:47:14 | 000,108,544 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\qttestrs47.dll
MOD - [2011.11.04 13:47:12 | 001,340,416 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\qtscriptrs47.dll
MOD - [2011.11.04 13:47:12 | 000,281,088 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\qtsvgrs47.dll
MOD - [2011.11.04 13:47:10 | 008,934,400 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\qtguirs47.dll
MOD - [2011.11.04 13:47:10 | 002,395,648 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\qt3supportrs47.dll
MOD - [2011.11.04 13:47:10 | 000,990,208 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\qtnetworkrs47.dll
MOD - [2011.11.04 13:47:10 | 000,358,400 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\qtxmlrs47.dll
MOD - [2011.11.04 13:47:08 | 002,356,736 | ---- | M] () -- C:\Programme\Buhl finance\tax Steuersoftware 2012\qtcorers47.dll
MOD - [2011.04.15 18:14:14 | 000,176,128 | R--- | M] () -- C:\WINDOWS\system32\m1210nwia.dll
MOD - [2010.03.31 12:50:14 | 000,069,632 | ---- | M] () -- C:\WINDOWS\system32\spool\prtprocs\w32x86\HPM1210PP.dll
MOD - [2010.03.31 12:50:12 | 000,167,936 | ---- | M] () -- C:\WINDOWS\system32\HPM1210LM.DLL
MOD - [2009.10.15 19:44:46 | 000,067,128 | ---- | M] () -- C:\Programme\HP\HP UT LEDM\bin\HPTools.dll
MOD - [2009.10.15 19:44:24 | 000,075,320 | ---- | M] () -- C:\Programme\HP\HP UT LEDM\bin\HPToolkit.dll
MOD - [2009.10.15 19:44:06 | 000,969,784 | ---- | M] () -- C:\Programme\HP\HP UT LEDM\bin\LEDMXMLObjects.dll
MOD - [2009.10.15 19:43:56 | 000,140,856 | ---- | M] () -- C:\Programme\HP\HP UT LEDM\bin\DMBaseObjects.dll
MOD - [2009.10.15 19:43:10 | 000,240,128 | ---- | M] () -- C:\Programme\HP\HP UT LEDM\bin\LEDMMapperObjects.dll
MOD - [2009.10.15 12:13:48 | 000,964,096 | ---- | M] () -- C:\Programme\HP\HPLaserJetService\LEDMXMLObjects.dll
MOD - [2009.10.15 12:13:46 | 000,061,440 | ---- | M] () -- C:\Programme\HP\HPLaserJetService\HPTools.dll
MOD - [2008.06.20 18:02:46 | 000,247,296 | ---- | M] () -- \\.\globalroot\systemroot\system32\mswsock.dll
MOD - [2008.06.12 01:10:08 | 000,016,768 | ---- | M] () -- C:\Programme\Adobe\Reader 9.0\Reader\ViewerPS.dll


========== Win32 Services (SafeList) ==========

SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.03.26 17:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
SRV - [2011.05.18 08:18:50 | 000,099,896 | ---- | M] (HP) [Auto | Running] -- C:\WINDOWS\system32\HPSIsvc.exe -- (HPSIService)
SRV - [2010.05.11 16:58:04 | 000,247,352 | ---- | M] (HP) [Auto | Running] -- C:\Programme\HP\HP LaserJet M1210 MFP Series\ReceiveFaxUtility.exe -- (HPM1210RcvFaxSrvc)
SRV - [2010.03.01 20:49:51 | 000,867,080 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2009.10.15 12:13:50 | 000,136,192 | ---- | M] (HP) [Auto | Running] -- C:\Programme\HP\HPLaserJetService\HPLaserJetService.exe -- (HP LaserJet Service)
SRV - [2004.02.24 17:35:06 | 002,372,760 | ---- | M] (Sygate Technologies, Inc.) [Auto | Running] -- C:\Programme\Sygate\SPF\Smc.exe -- (SmcService)
SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\rt73.sys -- (RT73)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
DRV - [2012.06.20 12:06:48 | 000,043,480 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\yvxujbrm.sys -- (yvxujbrm)
DRV - [2010.11.11 10:28:43 | 000,101,248 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmaudio.sys -- (avmaudio)
DRV - [2010.08.28 16:17:49 | 000,101,248 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmaura.sys -- (avmaura)
DRV - [2009.04.23 02:02:00 | 000,440,832 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fwlanusbn.sys -- (fwlanusbn)
DRV - [2009.04.23 02:02:00 | 000,004,352 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmeject.sys -- (avmeject)
DRV - [2004.11.12 13:08:34 | 002,284,864 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2004.06.10 11:06:00 | 000,191,360 | ---- | M] (Ralink Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RT2500.sys -- (RT2500)
DRV - [2004.06.07 14:45:40 | 001,267,724 | ---- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2004.02.02 11:53:28 | 000,018,518 | ---- | M] (Sygate Technologies, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\wpsdrvnt.sys -- (wpsdrvnt)
DRV - [2004.02.02 11:51:04 | 000,055,891 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\Teefer.sys -- (Teefer)
DRV - [2004.02.02 11:37:32 | 000,011,914 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\wg3n.sys -- (wg3n)
DRV - [2003.10.24 17:27:32 | 000,095,970 | ---- | M] (Alps Electric Co., Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Apfiltr.sys -- (ApfiltrService)
DRV - [2003.10.24 17:04:56 | 000,005,632 | ---- | M] (EnE Technology Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\EKBfltr.sys -- (EKBfltr)
DRV - [2003.07.02 05:42:00 | 000,027,904 | ---- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\VIAAGP1.SYS -- (viaagp1)
DRV - [2003.02.19 01:38:04 | 000,017,504 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gt680x.sys -- (GT680x)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}: "URL" = hxxp://www.searchqu.com/web?src=ieb&q={searchTerms}

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\..\URLSearchHook: - No CLSID value found
IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
IE - HKCU\..\SearchScopes,DefaultScope = {4329A649-0A08-484D-8D96-7D1E9E4D211E}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = hxxp://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60076
IE - HKCU\..\SearchScopes\{4329A649-0A08-484D-8D96-7D1E9E4D211E}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
IE - HKCU\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}: "URL" = hxxp://www.searchqu.com/web?src=ieb&q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fritz.box


========== FireFox ==========

FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\quickprint@hp.com: C:\Programme\Hewlett-Packard\SmartPrint\QPExtension [2011.01.26 15:27:28 | 000,000,000 | ---D | M]


O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (FlashFXP Helper for Internet Explorer) - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll (IniCom Networks, Inc.)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll (Yahoo! Inc)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [HPUsageTrackingLEDM] C:\Programme\HP\HP UT LEDM\bin\hppusg.exe (Hewlett-Packard Company)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [SmcService] C:\Programme\Sygate\SPF\Smc.exe (Sygate Technologies, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\t@x aktuell.lnk = C:\Programme\Buhl finance\tax Steuersoftware 2012\taxaktuell.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: HP Smart Print - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Programme\Hewlett-Packard\SmartPrint\smartprintsetup.exe (Hewlett-Packard)
O9 - Extra 'Tools' menuitem : SmartPrint - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Programme\Hewlett-Packard\SmartPrint\smartprintsetup.exe (Hewlett-Packard)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not found
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Domains: fritz.repeater ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range2 ([*] in Lokales Intranet)
O16 - DPF: {37A8A17B-2DDC-4600-BBC6-538C10AED8C0} hxxp://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader4.cab (Silverwire Image Uploader Control)
O16 - DPF: {45830FF9-D9E6-4F41-86ED-B266933D8E90} hxxp://192.168.178.88/RtspVaPgDec.cab (RtspVaPgCtrlNew Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://dl8-cdn-01.sun.com/s/ESD7/JSCDL/jdk/6u12-b04/jinstall-6u12-windows-i586-jc.cab?e=1237410193007&h=e3487e3c3b2387f7ba659b540e868c54/&filename=jinstall-6u12-windows-i586-jc.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {937FE81C-FECF-4A55-9754-49D6D6550EDC} hxxp://192.168.178.21:8085/cgi-bin/NNVRVMon.cab (NAS NVR(V) Monitor)
O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: {EFFDEEEC-F9E1-4461-91D2-DAEB8CC595F1} hxxp://192.168.178.66/CSViewer.cab (CSViewer Control)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{55C907DA-0CF5-4299-B992-F18E81EF44BC}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A26ACD95-4421-4CF0-A802-870EE15414D5}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C0144EBD-DFF6-4F8B-AA78-083B4D202FAB}: NameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (c:\progra~1\window~4\datamngr\datamngr.dll) - File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.01.10 10:41:44 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{534b720c-b95c-11e0-b052-0040cad31a5b}\Shell - "" = AutoRun
O33 - MountPoints2\{534b720c-b95c-11e0-b052-0040cad31a5b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{534b720c-b95c-11e0-b052-0040cad31a5b}\Shell\AutoRun\command - "" = E:\Startme.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

========== Files/Folders - Created Within 30 Days ==========

[2012.06.18 22:03:06 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Security Client
[2012.06.18 12:36:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
[2012.06.18 12:36:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun
[2012.06.18 12:26:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2012.06.18 12:26:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2012.06.07 17:59:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dani\Desktop\EbayChristof
[2012.06.07 16:57:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\t@x 2012
[2012.05.31 09:58:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dani\Eigene Dateien\ebaybla
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Dani\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Dani\Eigene Dateien\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2012.06.20 12:08:10 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Dani\defogger_reenable
[2012.06.20 12:06:34 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2012.06.20 12:06:23 | 000,000,358 | -H-- | M] () -- C:\WINDOWS\tasks\MpIdleTask.job
[2012.06.20 11:56:15 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.06.20 08:45:29 | 000,002,607 | ---- | M] () -- C:\Dokumente und Einstellungen\Dani\Desktop\Microsoft Office Outlook 2003.lnk
[2012.06.18 22:03:38 | 000,001,912 | ---- | M] () -- C:\WINDOWS\epplauncher.mif
[2012.06.18 22:02:59 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.06.18 19:36:55 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.06.14 08:41:20 | 000,197,752 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.06.14 08:39:10 | 000,452,436 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.06.14 08:39:10 | 000,435,726 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.06.14 08:39:10 | 000,081,394 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.06.14 08:39:10 | 000,068,622 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.06.14 08:30:13 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.06.07 17:58:52 | 000,000,897 | ---- | M] () -- C:\WINDOWS\wiso.ini
[2012.06.07 16:59:36 | 000,001,836 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\t@x aktuell.lnk
[2012.06.07 16:59:36 | 000,001,817 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\t@x 2012.lnk
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Dani\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Dani\Eigene Dateien\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]

========== Files Created - No Company Name ==========

[2012.06.20 12:08:10 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Dani\defogger_reenable
[2012.06.18 22:13:22 | 000,000,358 | -H-- | C] () -- C:\WINDOWS\tasks\MpIdleTask.job
[2012.06.18 22:03:24 | 000,001,678 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Security Essentials.lnk
[2012.06.18 11:06:55 | 000,000,804 | ---- | C] () -- C:\WINDOWS\Installer\{35261134-1709-f86a-0e83-eb3e84c6efda}\L\00000004.@
[2012.06.18 11:06:47 | 000,002,048 | ---- | C] () -- C:\WINDOWS\Installer\{35261134-1709-f86a-0e83-eb3e84c6efda}\U\00000004.@
[2012.06.07 16:59:36 | 000,001,836 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\t@x aktuell.lnk
[2012.06.07 16:59:36 | 000,001,817 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\t@x 2012.lnk
[2012.04.21 09:03:27 | 000,000,038 | ---- | C] () -- C:\WINDOWS\TETRIS.INI
[2012.03.11 13:44:23 | 000,053,760 | R--- | C] () -- C:\WINDOWS\System32\HPM1210SMs.dll
[2012.03.11 13:44:21 | 001,167,360 | ---- | C] () -- C:\WINDOWS\System32\HPM1210SM.exe
[2012.03.11 13:44:20 | 000,167,936 | ---- | C] () -- C:\WINDOWS\System32\HPM1210LM.DLL
[2012.03.11 13:44:14 | 000,176,128 | R--- | C] () -- C:\WINDOWS\System32\m1210nwia.dll
[2012.03.11 13:44:03 | 000,167,936 | R--- | C] () -- C:\WINDOWS\System32\m1210wia.dll
[2012.03.11 13:40:04 | 000,284,672 | ---- | C] () -- C:\WINDOWS\System32\mvhlewsi.DLL
[2012.02.16 09:36:12 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.08.30 09:52:50 | 000,027,428 | ---- | C] () -- C:\WINDOWS\mmedt.dll
[2010.12.09 15:10:10 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2006.02.28 14:00:00 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{35261134-1709-f86a-0e83-eb3e84c6efda}\@
[2006.02.28 14:00:00 | 000,002,048 | -HS- | C] () -- C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\{35261134-1709-f86a-0e83-eb3e84c6efda}\@

========== LOP Check ==========

[2012.06.07 17:40:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
[2010.02.14 10:57:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FlashFXP
[2010.07.15 10:10:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2009.07.20 21:37:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
[2009.10.29 12:58:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PDF Writer
[2009.05.24 09:41:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\Buhl Data Service
[2011.08.07 10:48:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\Friday's games
[2009.07.20 21:47:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\FRITZ!
[2009.07.20 21:37:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\FRITZ!fax für FRITZ!Box
[2009.11.22 13:06:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\Kiddinx
[2009.10.29 12:58:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\PDF Writer
[2010.01.03 20:56:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\SteelBytes
[2009.03.05 19:11:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\TeamViewer
[2012.06.20 12:06:23 | 000,000,358 | -H-- | M] () -- C:\WINDOWS\Tasks\MpIdleTask.job

========== Purity Check ==========



========== Alternate Data Streams ==========

@Alternate Data Stream - 802 bytes -> C:\WINDOWS\System32\drivers\yvxujbrm.sys:changelist

< End of report >

Psychotic 20.06.2012 15:31
:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
  1. Bitte arbeite alle Schritte der Reihe nach ab.
  2. Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
  3. Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
  4. Bitte kein Crossposting (posten in mehreren Foren) - wenn du die Anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
  5. Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
  6. Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!

    ...und ganz wichtig:

  7. Poste die Logfiles mit code-tags (das #-Symbol oben im Antwortfenster) in deinen Thread! Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).


Vista und Win7 User
Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten.




Combofix


Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

jochsi 20.06.2012 16:52
Hallo Marius,
erstmal vielen Dank für die schnelle Antwort!!! Hab den Scan durchgeführt. Hab leider ein paar "Fehler" gemacht. Hab den Scanner vom Stick gestartet, nicht vom Desktop. Außerdem hab ich den MSE Echtzeitschutz deaktiviert, daraufhin hat er gemeckert, dass der mse noch aktiv sei. Hab den Task vom MSE dann abgeschossen.
Die Wiederherstellungskonsole wollte er downloaden (war bzw ist eigentlich installiert) hat aber vorher die Lanverbindung deaktiviert?!
Hat dann trotzdem gescannt, hier das Logfile:

[CODE] Combofix Logfile:
Code:
ComboFix 12-06-20.01 - Dani 20.06.2012  17:32:32.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.958.630 [GMT 2:00]
ausgeführt von:: f:\trojanertools\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
AV: Microsoft Security Essentials *Enabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Dani\Eigene Dateien\~WRL0309.tmp
c:\dokumente und einstellungen\Dani\WINDOWS
c:\windows\dasetup.log
c:\windows\EventSystem.log
c:\windows\Installer\{35261134-1709-f86a-0e83-eb3e84c6efda}\@
c:\windows\Installer\{35261134-1709-f86a-0e83-eb3e84c6efda}\L\00000004.@
c:\windows\Installer\{35261134-1709-f86a-0e83-eb3e84c6efda}\L\1afb2d56
c:\windows\Installer\{35261134-1709-f86a-0e83-eb3e84c6efda}\L\201d3dde
c:\windows\Installer\{35261134-1709-f86a-0e83-eb3e84c6efda}\U\00000004.@
c:\windows\IsUn0407.exe
c:\windows\mmedt.dll
c:\windows\system32\dllcache\dlimport.exe
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-05-20 bis 2012-06-20  ))))))))))))))))))))))))))))))
.
.
2012-06-20 16:16 . 2012-06-20 16:17        --------        d---a-w-        C:\Kaspersky Rescue Disk 10.0
2012-06-20 12:11 . 2012-05-31 03:41        6762896        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E97CF46E-1B89-4043-B9BE-0810FD470D89}\mpengine.dll
2012-06-18 20:08 . 2012-05-08 07:40        6737808        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-06-18 20:03 . 2012-06-18 20:03        --------        d-----w-        c:\programme\Microsoft Security Client
2012-06-18 10:36 . 2012-06-18 10:36        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2012-06-13 15:28 . 2012-05-11 14:40        521728        -c----w-        c:\windows\system32\dllcache\jsdbgui.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-31 13:22 . 2006-02-28 12:00        604160        ----a-w-        c:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2006-02-28 12:00        916992        ----a-w-        c:\windows\system32\wininet.dll
2012-05-15 13:56 . 2006-02-28 12:00        1863296        ----a-w-        c:\windows\system32\win32k.sys
2012-05-11 14:40 . 2006-02-28 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2006-02-28 12:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2006-02-28 12:00        385024        ----a-w-        c:\windows\system32\html.iec
2012-05-05 03:14 . 2006-02-28 12:00        2194944        ----a-w-        c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2004-08-04 00:50        2071424        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2009-01-10 08:35        139656        ----a-w-        c:\windows\system32\drivers\rdpwd.sys
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"HPUsageTrackingLEDM"="c:\programme\HP\HP UT LEDM\bin\hppusg.exe" [2009-10-15 30264]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
t@x aktuell.lnk - c:\programme\Buhl finance\tax Steuersoftware 2012\taxaktuell.exe [2012-6-7 537240]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^t@x aktuell.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\t@x aktuell.lnk
backup=c:\windows\pss\t@x aktuell.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^tax aktuell.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\tax aktuell.lnk
backup=c:\windows\pss\tax aktuell.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Watch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Watch.lnk
backup=c:\windows\pss\Watch.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-06-12 01:38        34672        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2004-06-07 09:15        88363        ----a-w-        c:\windows\AGRSMMSG.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
2003-12-05 06:22        159744        ----a-w-        c:\programme\Apoint2K\Apoint.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22        15360        ----a-w-        c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDDHealth]
2008-06-15 11:14        1692672        ----a-w-        c:\programme\HDD Health\hddhealth.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2004-11-12 11:17        73728        ----a-w-        c:\windows\SOUNDMAN.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-03-18 21:02        148888        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
2004-11-12 11:28        53248        ----a-w-        c:\windows\system32\VTTimer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]
2004-11-12 11:28        143360        ----a-w-        c:\windows\system32\VTTrayp.exe
.
R2 HP LaserJet Service;HP LaserJet Service;c:\programme\HP\HPLaserJetService\HPLaserJetService.exe [15.10.2009 12:13 136192]
R2 HPM1210RcvFaxSrvc;HP LaserJet Professional M1210 MFP Series Receive Fax Service;c:\programme\HP\HP LaserJet M1210 MFP Series\ReceiveFaxUtility.exe [11.05.2010 16:58 247352]
R2 HPSIService;HP SI Service;c:\windows\system32\HPSIsvc.exe [11.03.2012 13:42 99896]
R3 avmaudio;AVM Audio;c:\windows\system32\drivers\avmaudio.sys [11.11.2010 10:28 101248]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [28.08.2010 16:18 101248]
R3 EKBfltr;ENE Keyboard Controller;c:\windows\system32\drivers\EKBfltr.sys [10.01.2009 10:53 5632]
S1 qoxzfgqc;qoxzfgqc;\??\c:\windows\system32\drivers\qoxzfgqc.sys --> c:\windows\system32\drivers\qoxzfgqc.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [21.07.2009 17:25 4352]
S3 fwlanusbn;FRITZ!WLAN N;c:\windows\system32\drivers\fwlanusbn.sys [21.07.2009 17:25 440832]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.08.2010 19:10 136176]
S4 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [08.08.2010 19:10 136176]
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cce1283120dbc0.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-08-08 17:10]
.
2012-06-20 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-03-26 15:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = fritz.box
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{A26ACD95-4421-4CF0-A802-870EE15414D5}: NameServer = 192.168.178.1
TCP: Interfaces\{C0144EBD-DFF6-4F8B-AA78-083B4D202FAB}: NameServer = 192.168.178.1
DPF: {37A8A17B-2DDC-4600-BBC6-538C10AED8C0} - hxxp://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader4.cab
DPF: {45830FF9-D9E6-4F41-86ED-B266933D8E90} - hxxp://192.168.178.88/RtspVaPgDec.cab
DPF: {937FE81C-FECF-4A55-9754-49D6D6550EDC} - hxxp://192.168.178.21:8085/cgi-bin/NNVRVMon.cab
DPF: {EFFDEEEC-F9E1-4461-91D2-DAEB8CC595F1} - hxxp://192.168.178.66/CSViewer.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-AVMWlanClient - c:\programme\avmwlanstick\wlangui.exe
MSConfigStartUp-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
MSConfigStartUp-DataMngr - c:\programme\Windows Searchqu Toolbar\DataMngr\DataMngrUI.exe
MSConfigStartUp-NeroFilterCheck - c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
MSConfigStartUp-SpywareTerminator - c:\programme\Spyware Terminator\SpywareTerminatorShield.exe
MSConfigStartUp-SpywareTerminatorUpdate - c:\programme\Spyware Terminator\SpywareTerminatorUpdate.exe
MSConfigStartUp-UIExec - c:\programme\Join Air\UIExec.exe
AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe
AddRemove-Microcash EuroCis - c:\windows\unin0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-06-20 17:39
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2012-06-20  17:41:49
ComboFix-quarantined-files.txt  2012-06-20 15:41
.
Vor Suchlauf: 15 Verzeichnis(se), 81.342.521.344 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 82.644.107.264 Bytes frei
.
- - End Of File - - C9FAA1EF0D2ECA815F2C01F71C81D475
--- --- ---


Danke nochmal für die Hilfe!!!!!!

Psychotic 21.06.2012 08:58
Combofix muss auf dem Desktop liegen - sonst würde ich mir nicht die Mühe machen, dass so hinzuschreiben!



Gehe auf die Mircosoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12

Wähle den Download, der für dein Betriebssystem bestimmt ist:
Hinweis: Für WinXP Sp3 wähle die Sp2 Version.

http://i94.photobucket.com/albums/l8...ungskonsol.png

Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab.

http://i94.photobucket.com/albums/l8...onsole_ani.gif

Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.
  • Ziehe die Setupdatei auf ComboFix.exe und lasse es los.
  • Folge den Aufforderungen um ComboFix zu starten und wenn Du dazu aufgefordert wirst, stimme den Nutzungsbedingungen zu um die Wiederherstellungskonsole zu installieren.
  • Bei der nächsten Eingabeaufforderung, klicke auf "Yes" um den vollständigen Suchlauf von ComboFix zu starten.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

jochsi 21.06.2012 09:41
sri, habs gestern überlesen.
hier aber das neue logfile, diesmal richtig gemacht.

Code:
ComboFix 12-06-20.01 - Dani 21.06.2012  10:26:53.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.958.633 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Dani\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Dani\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-05-21 bis 2012-06-21  ))))))))))))))))))))))))))))))
.
.
2012-06-21 07:08 . 2012-06-21 07:08        56200        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{462CBD49-D525-4973-8BB8-C0E2954CB5FB}\offreg.dll
2012-06-21 07:08 . 2012-06-21 07:08        29904        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{462CBD49-D525-4973-8BB8-C0E2954CB5FB}\MpKsl894c0986.sys
2012-06-20 16:26 . 2012-05-31 03:41        6762896        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{462CBD49-D525-4973-8BB8-C0E2954CB5FB}\mpengine.dll
2012-06-20 16:16 . 2012-06-20 16:17        --------        d---a-w-        C:\Kaspersky Rescue Disk 10.0
2012-06-18 20:08 . 2012-05-08 07:40        6737808        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-06-18 20:03 . 2012-06-18 20:03        --------        d-----w-        c:\programme\Microsoft Security Client
2012-06-18 10:36 . 2012-06-18 10:36        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2012-06-13 15:28 . 2012-05-11 14:40        521728        -c----w-        c:\windows\system32\dllcache\jsdbgui.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-31 13:22 . 2006-02-28 12:00        604160        ----a-w-        c:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2006-02-28 12:00        916992        ----a-w-        c:\windows\system32\wininet.dll
2012-05-15 13:56 . 2006-02-28 12:00        1863296        ----a-w-        c:\windows\system32\win32k.sys
2012-05-11 14:40 . 2006-02-28 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2006-02-28 12:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2006-02-28 12:00        385024        ----a-w-        c:\windows\system32\html.iec
2012-05-05 03:14 . 2006-02-28 12:00        2194944        ----a-w-        c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2004-08-04 00:50        2071424        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2009-01-10 08:35        139656        ----a-w-        c:\windows\system32\drivers\rdpwd.sys
.
.
(((((((((((((((((((((((((((((  SnapShot@2012-06-20_15.39.19  )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-06-21 05:54 . 2012-06-21 05:54        16384              c:\windows\Temp\Perflib_Perfdata_244.dat
+ 2006-02-28 12:00 . 2012-06-20 16:30        68976              c:\windows\system32\perfc009.dat
+ 2006-02-28 12:00 . 2012-06-20 16:30        81810              c:\windows\system32\perfc007.dat
+ 2006-02-28 12:00 . 2012-06-20 16:30        436080              c:\windows\system32\perfh009.dat
+ 2006-02-28 12:00 . 2012-06-20 16:30        453030              c:\windows\system32\perfh007.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"HPUsageTrackingLEDM"="c:\programme\HP\HP UT LEDM\bin\hppusg.exe" [2009-10-15 30264]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
t@x aktuell.lnk - c:\programme\Buhl finance\tax Steuersoftware 2012\taxaktuell.exe [2012-6-7 537240]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^t@x aktuell.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\t@x aktuell.lnk
backup=c:\windows\pss\t@x aktuell.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^tax aktuell.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\tax aktuell.lnk
backup=c:\windows\pss\tax aktuell.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Watch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Watch.lnk
backup=c:\windows\pss\Watch.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-06-12 01:38        34672        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2004-06-07 09:15        88363        ----a-w-        c:\windows\AGRSMMSG.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
2003-12-05 06:22        159744        ----a-w-        c:\programme\Apoint2K\Apoint.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22        15360        ----a-w-        c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDDHealth]
2008-06-15 11:14        1692672        ----a-w-        c:\programme\HDD Health\hddhealth.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2004-11-12 11:17        73728        ----a-w-        c:\windows\SOUNDMAN.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-03-18 21:02        148888        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
2004-11-12 11:28        53248        ----a-w-        c:\windows\system32\VTTimer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]
2004-11-12 11:28        143360        ----a-w-        c:\windows\system32\VTTrayp.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R1 MpKsl894c0986;MpKsl894c0986;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{462CBD49-D525-4973-8BB8-C0E2954CB5FB}\MpKsl894c0986.sys [21.06.2012 09:08 29904]
R2 HP LaserJet Service;HP LaserJet Service;c:\programme\HP\HPLaserJetService\HPLaserJetService.exe [15.10.2009 12:13 136192]
R2 HPM1210RcvFaxSrvc;HP LaserJet Professional M1210 MFP Series Receive Fax Service;c:\programme\HP\HP LaserJet M1210 MFP Series\ReceiveFaxUtility.exe [11.05.2010 16:58 247352]
R2 HPSIService;HP SI Service;c:\windows\system32\HPSIsvc.exe [11.03.2012 13:42 99896]
R3 avmaudio;AVM Audio;c:\windows\system32\drivers\avmaudio.sys [11.11.2010 10:28 101248]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [28.08.2010 16:18 101248]
R3 EKBfltr;ENE Keyboard Controller;c:\windows\system32\drivers\EKBfltr.sys [10.01.2009 10:53 5632]
S1 qoxzfgqc;qoxzfgqc;\??\c:\windows\system32\drivers\qoxzfgqc.sys --> c:\windows\system32\drivers\qoxzfgqc.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [21.07.2009 17:25 4352]
S3 fwlanusbn;FRITZ!WLAN N;c:\windows\system32\drivers\fwlanusbn.sys [21.07.2009 17:25 440832]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.08.2010 19:10 136176]
S4 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [08.08.2010 19:10 136176]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MPKSL894C0986
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cce1283120dbc0.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-08-08 17:10]
.
2012-06-21 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-03-26 15:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = fritz.box
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{A26ACD95-4421-4CF0-A802-870EE15414D5}: NameServer = 192.168.178.1
TCP: Interfaces\{C0144EBD-DFF6-4F8B-AA78-083B4D202FAB}: NameServer = 192.168.178.1
DPF: {37A8A17B-2DDC-4600-BBC6-538C10AED8C0} - hxxp://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader4.cab
DPF: {45830FF9-D9E6-4F41-86ED-B266933D8E90} - hxxp://192.168.178.88/RtspVaPgDec.cab
DPF: {937FE81C-FECF-4A55-9754-49D6D6550EDC} - hxxp://192.168.178.21:8085/cgi-bin/NNVRVMon.cab
DPF: {EFFDEEEC-F9E1-4461-91D2-DAEB8CC595F1} - hxxp://192.168.178.66/CSViewer.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-06-21 10:31
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3252)
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2012-06-21  10:33:50
ComboFix-quarantined-files.txt  2012-06-21 08:33
ComboFix2.txt  2012-06-20 15:41
.
Vor Suchlauf: 16 Verzeichnis(se), 82.623.115.264 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 82.609.479.680 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 4A2C89BE18400ECDE32826D459431F39
danke nochmal!

Psychotic 21.06.2012 14:37
Kein Problem! :)


VT



Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
  • Klicke auf Durchsuchen
  • Kopiere nun folgendes in die Suchleiste.
    Code:
    c:\windows\system32\dllcache\jsdbgui.dll
  • und klicke auf Öffnen.
  • Klicke auf Send File.
Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
Zitat:
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
klicke auf Reanalyse. Warte bis unter Current status: Finished steht. Kopiere den Link aus deiner Adresszeile und poste ihn hier.

jochsi 21.06.2012 14:58
hier dier link:

https://www.virustotal.com/file/d2dedd795ba74b14dc08959610737d7faa46575c3f54a979b93503ae431de8fe/analysis/1340286841/

Psychotic 21.06.2012 15:03
Schritt 1: CF-Script



Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
DRIVER::
qoxzfgqc
CLEARJAVACACHE::
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.
http://i266.photobucket.com/albums/i.../CFScriptB.gif
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.




Schritt 2: MBAM



Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen.(Hinweis: Alle Festplatten anhaken!
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

jochsi 21.06.2012 15:24
hier erstmal das log vom combofix, malwarebytes mach ich grad

Code:
ComboFix 12-06-21.01 - Dani 21.06.2012  16:10:19.3.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.958.610 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Dani\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Dani\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_qoxzfgqc
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-05-21 bis 2012-06-21  ))))))))))))))))))))))))))))))
.
.
2012-06-21 09:18 . 2012-05-31 03:41        6762896        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{6E829E48-6B96-428E-947E-C580E197F854}\mpengine.dll
2012-06-20 16:16 . 2012-06-20 16:17        --------        d---a-w-        C:\Kaspersky Rescue Disk 10.0
2012-06-18 20:08 . 2012-05-08 07:40        6737808        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-06-18 20:03 . 2012-06-18 20:03        --------        d-----w-        c:\programme\Microsoft Security Client
2012-06-18 10:36 . 2012-06-18 10:36        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2012-06-13 15:28 . 2012-05-11 14:40        521728        -c----w-        c:\windows\system32\dllcache\jsdbgui.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-31 13:22 . 2006-02-28 12:00        604160        ----a-w-        c:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2006-02-28 12:00        916992        ----a-w-        c:\windows\system32\wininet.dll
2012-05-15 13:56 . 2006-02-28 12:00        1863296        ----a-w-        c:\windows\system32\win32k.sys
2012-05-11 14:40 . 2006-02-28 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2006-02-28 12:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2006-02-28 12:00        385024        ----a-w-        c:\windows\system32\html.iec
2012-05-05 03:14 . 2006-02-28 12:00        2194944        ----a-w-        c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2004-08-04 00:50        2071424        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2009-01-10 08:35        139656        ----a-w-        c:\windows\system32\drivers\rdpwd.sys
.
.
(((((((((((((((((((((((((((((  SnapShot@2012-06-20_15.39.19  )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-06-21 14:17 . 2012-06-21 14:17        16384              c:\windows\Temp\Perflib_Perfdata_1fc.dat
+ 2006-02-28 12:00 . 2012-06-20 16:30        68976              c:\windows\system32\perfc009.dat
+ 2006-02-28 12:00 . 2012-06-20 16:30        81810              c:\windows\system32\perfc007.dat
+ 2006-02-28 12:00 . 2012-06-20 16:30        436080              c:\windows\system32\perfh009.dat
+ 2006-02-28 12:00 . 2012-06-20 16:30        453030              c:\windows\system32\perfh007.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"HPUsageTrackingLEDM"="c:\programme\HP\HP UT LEDM\bin\hppusg.exe" [2009-10-15 30264]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
t@x aktuell.lnk - c:\programme\Buhl finance\tax Steuersoftware 2012\taxaktuell.exe [2012-6-7 537240]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^t@x aktuell.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\t@x aktuell.lnk
backup=c:\windows\pss\t@x aktuell.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^tax aktuell.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\tax aktuell.lnk
backup=c:\windows\pss\tax aktuell.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Watch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Watch.lnk
backup=c:\windows\pss\Watch.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-06-12 01:38        34672        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2004-06-07 09:15        88363        ----a-w-        c:\windows\AGRSMMSG.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
2003-12-05 06:22        159744        ----a-w-        c:\programme\Apoint2K\Apoint.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22        15360        ----a-w-        c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDDHealth]
2008-06-15 11:14        1692672        ----a-w-        c:\programme\HDD Health\hddhealth.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2004-11-12 11:17        73728        ----a-w-        c:\windows\SOUNDMAN.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-03-18 21:02        148888        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
2004-11-12 11:28        53248        ----a-w-        c:\windows\system32\VTTimer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]
2004-11-12 11:28        143360        ----a-w-        c:\windows\system32\VTTrayp.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R2 HP LaserJet Service;HP LaserJet Service;c:\programme\HP\HPLaserJetService\HPLaserJetService.exe [15.10.2009 12:13 136192]
R2 HPM1210RcvFaxSrvc;HP LaserJet Professional M1210 MFP Series Receive Fax Service;c:\programme\HP\HP LaserJet M1210 MFP Series\ReceiveFaxUtility.exe [11.05.2010 16:58 247352]
R2 HPSIService;HP SI Service;c:\windows\system32\HPSIsvc.exe [11.03.2012 13:42 99896]
R3 avmaudio;AVM Audio;c:\windows\system32\drivers\avmaudio.sys [11.11.2010 10:28 101248]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [28.08.2010 16:18 101248]
R3 EKBfltr;ENE Keyboard Controller;c:\windows\system32\drivers\EKBfltr.sys [10.01.2009 10:53 5632]
S1 MpKsl894c0986;MpKsl894c0986;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{462CBD49-D525-4973-8BB8-C0E2954CB5FB}\MpKsl894c0986.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{462CBD49-D525-4973-8BB8-C0E2954CB5FB}\MpKsl894c0986.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [21.07.2009 17:25 4352]
S3 fwlanusbn;FRITZ!WLAN N;c:\windows\system32\drivers\fwlanusbn.sys [21.07.2009 17:25 440832]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.08.2010 19:10 136176]
S4 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [08.08.2010 19:10 136176]
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cce1283120dbc0.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-08-08 17:10]
.
2012-06-21 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-03-26 15:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = fritz.box
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: Interfaces\{A26ACD95-4421-4CF0-A802-870EE15414D5}: NameServer = 192.168.178.1
TCP: Interfaces\{C0144EBD-DFF6-4F8B-AA78-083B4D202FAB}: NameServer = 192.168.178.1
DPF: {37A8A17B-2DDC-4600-BBC6-538C10AED8C0} - hxxp://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader4.cab
DPF: {45830FF9-D9E6-4F41-86ED-B266933D8E90} - hxxp://192.168.178.88/RtspVaPgDec.cab
DPF: {937FE81C-FECF-4A55-9754-49D6D6550EDC} - hxxp://192.168.178.21:8085/cgi-bin/NNVRVMon.cab
DPF: {EFFDEEEC-F9E1-4461-91D2-DAEB8CC595F1} - hxxp://192.168.178.66/CSViewer.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-06-21 16:17
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1552)
c:\windows\system32\SSSensor.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Microsoft Security Client\MsMpEng.exe
c:\programme\Sygate\SPF\smc.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\CNAC4RPK.EXE
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-06-21  16:21:46 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-06-21 14:21
ComboFix2.txt  2012-06-20 15:41
.
Vor Suchlauf: 16 Verzeichnis(se), 82.595.790.848 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 82.617.147.392 Bytes frei
.
- - End Of File - - 9C1D1D0DB2EE68EE9F0D1B50E7D20F03
so und hier vom malwarebytes

Code:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.21.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Dani :: DANIS-LAPTOPWXP [Administrator]

Schutz: Aktiviert

21.06.2012 16:29:16
mbam-log-2012-06-21 (16-29-16).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 256636
Laufzeit: 52 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Psychotic 22.06.2012 08:16
Onlinescan zur Kontrolle




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


jochsi 22.06.2012 10:16
so, der scann ist durch und hat nichts gefunden. Eine Liste kann ich leider nicht erstellen. Kann nur Finish klicken.

Psychotic 26.06.2012 07:17
Prima!


Neues OTL-Log

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)
  • Doppelklick auf die OTL.exe
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

jochsi 26.06.2012 10:05
hi,
hier die logs

Code:
OTL logfile created on: 26.06.2012 10:51:19 - Run 2
OTL by OldTimer - Version 3.2.53.0    Folder = C:\Dokumente und Einstellungen\Dani\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
958,48 Mb Total Physical Memory | 485,03 Mb Available Physical Memory | 50,60% Memory free
2,26 Gb Paging File | 1,85 Gb Available in Paging File | 81,69% Paging File free
Paging file location(s): C:\pagefile.sys 1440 2880 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 108,78 Gb Total Space | 76,80 Gb Free Space | 70,60% Space Free | Partition Type: NTFS
Drive D: | 247,40 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive E: | 40,26 Gb Total Space | 10,22 Gb Free Space | 25,38% Space Free | Partition Type: FAT32
Drive F: | 963,72 Mb Total Space | 943,33 Mb Free Space | 97,88% Space Free | Partition Type: FAT
 
Computer Name: DANIS-LAPTOPWXP | User Name: Dani | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Dani\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Buhl finance\tax Steuersoftware 2012\taxaktuell.exe ()
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
PRC - c:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\HPSIsvc.exe (HP)
PRC - C:\Programme\HP\HP LaserJet M1210 MFP Series\ReceiveFaxUtility.exe (HP)
PRC - C:\Programme\HP\HP UT LEDM\bin\hppusg.exe (Hewlett-Packard Company)
PRC - C:\Programme\HP\HPLaserJetService\HPLaserJetService.exe (HP)
PRC - C:\WINDOWS\system32\CNAC4RPK.EXE (CANON INC.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Sygate\SPF\Smc.exe (Sygate Technologies, Inc.)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\dbc413807cb7360b3e26ef3ca1d54f9a\System.Web.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\8b84bb74d7724e147a642a1d5358feb7\System.ServiceProcess.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.VisualBas#\359fd69eb60e9844ffd497e92345178c\Microsoft.VisualBasic.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\01abbadafaf265d9f4ac9bbb247acb98\System.Windows.Forms.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\d86f2038209a4cf0d0f5b30f6375c9b2\System.Drawing.ni.dll ()
MOD - C:\WINDOWS\assembly\GAC_MSIL\System.Runtime.Remoting\2.0.0.0__b77a5c561934e089\System.Runtime.Remoting.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\wcore12.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\wgui12.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\wsteu12.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\rsguiwinapi47.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\rscorewinapi47.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\taxaktuell.exe ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\wauff12.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\rsodbc47.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\rsdcom47.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\wfvie12.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\wreli12.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\a644ec04e18202b60f9d828bc207972b\System.Runtime.Serialization.Formatters.Soap.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\3d5b7368bde0f65aa15d9f46b498cc89\System.Configuration.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\3bba1b8b0b5ef0be238b011cc7a0575e\System.Xml.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\e4b5afc4da43b1c576f9322f9f2e1bfe\System.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\e337c89bc9f81b69d7237aa70e935900\mscorlib.ni.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\qtsqlrs47.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\qtcluceners47.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\phononrs47.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\qtwebkitrs47.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\qttestrs47.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\qtscriptrs47.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\qtsvgrs47.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\qtguirs47.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\qt3supportrs47.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\qtnetworkrs47.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\qtxmlrs47.dll ()
MOD - C:\Programme\Buhl finance\tax Steuersoftware 2012\qtcorers47.dll ()
MOD - C:\WINDOWS\system32\m1210nwia.dll ()
MOD - C:\WINDOWS\system32\spool\prtprocs\w32x86\HPM1210PP.dll ()
MOD - C:\WINDOWS\system32\HPM1210LM.DLL ()
MOD - C:\Programme\HP\HP UT LEDM\bin\HPTools.dll ()
MOD - C:\Programme\HP\HP UT LEDM\bin\HPToolkit.dll ()
MOD - C:\Programme\HP\HP UT LEDM\bin\LEDMXMLObjects.dll ()
MOD - C:\Programme\HP\HP UT LEDM\bin\DMBaseObjects.dll ()
MOD - C:\Programme\HP\HP UT LEDM\bin\LEDMMapperObjects.dll ()
MOD - C:\Programme\HP\HPLaserJetService\LEDMXMLObjects.dll ()
MOD - C:\Programme\HP\HPLaserJetService\HPTools.dll ()
MOD - C:\Programme\WinRAR\RarExt.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (MsMpSvc) -- c:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
SRV - (HPSIService) -- C:\WINDOWS\system32\HPSIsvc.exe (HP)
SRV - (HPM1210RcvFaxSrvc) -- C:\Programme\HP\HP LaserJet M1210 MFP Series\ReceiveFaxUtility.exe (HP)
SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.)
SRV - (HP LaserJet Service) -- C:\Programme\HP\HPLaserJetService\HPLaserJetService.exe (HP)
SRV - (SmcService) -- C:\Programme\Sygate\SPF\Smc.exe (Sygate Technologies, Inc.)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (ZTEusbser6k) -- system32\DRIVERS\ZTEusbser6k.sys File not found
DRV - (ZTEusbnmea) -- system32\DRIVERS\ZTEusbnmea.sys File not found
DRV - (ZTEusbmdm6k) -- system32\DRIVERS\ZTEusbmdm6k.sys File not found
DRV - (WDICA) --  File not found
DRV - (RT73) -- system32\DRIVERS\rt73.sys File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (massfilter) -- system32\drivers\massfilter.sys File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (catchme) -- C:\ComboFix\catchme.sys File not found
DRV - (MBAMProtector) -- C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (avmaudio) -- C:\WINDOWS\system32\drivers\avmaudio.sys (AVM Berlin)
DRV - (avmaura) -- C:\WINDOWS\system32\drivers\avmaura.sys (AVM Berlin)
DRV - (fwlanusbn) -- C:\WINDOWS\system32\drivers\fwlanusbn.sys (AVM GmbH)
DRV - (avmeject) -- C:\WINDOWS\system32\drivers\avmeject.sys (AVM Berlin)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (RT2500) -- C:\WINDOWS\system32\drivers\RT2500.sys (Ralink Technology Inc.)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (wpsdrvnt) -- C:\WINDOWS\system32\drivers\wpsdrvnt.sys (Sygate Technologies, Inc.)
DRV - (Teefer) -- C:\WINDOWS\system32\drivers\Teefer.sys (Sygate Technologies, Inc.)
DRV - (wg3n) -- C:\WINDOWS\system32\drivers\wg3n.sys (Sygate Technologies, Inc.)
DRV - (ApfiltrService) -- C:\WINDOWS\system32\drivers\Apfiltr.sys (Alps Electric Co., Ltd.)
DRV - (EKBfltr) -- C:\WINDOWS\system32\drivers\EKBfltr.sys (EnE Technology Inc.)
DRV - (viaagp1) -- C:\WINDOWS\system32\drivers\VIAAGP1.SYS (VIA Technologies, Inc.)
DRV - (GT680x) -- C:\WINDOWS\system32\drivers\gt680x.sys (  )
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}: "URL" = hxxp://www.searchqu.com/web?src=ieb&q={searchTerms}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
IE - HKCU\..\SearchScopes,DefaultScope = {4329A649-0A08-484D-8D96-7D1E9E4D211E}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = hxxp://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60076
IE - HKCU\..\SearchScopes\{4329A649-0A08-484D-8D96-7D1E9E4D211E}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
IE - HKCU\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}: "URL" = hxxp://www.searchqu.com/web?src=ieb&q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fritz.box
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\quickprint@hp.com: C:\Programme\Hewlett-Packard\SmartPrint\QPExtension [2011.01.26 15:27:28 | 000,000,000 | ---D | M]
 
 
O1 HOSTS File: ([2012.06.21 16:17:36 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (FlashFXP Helper for Internet Explorer) - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll (IniCom Networks, Inc.)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll (Yahoo! Inc)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O4 - HKLM..\Run: [HPUsageTrackingLEDM] C:\Programme\HP\HP UT LEDM\bin\hppusg.exe (Hewlett-Packard Company)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [SmcService] C:\Programme\Sygate\SPF\Smc.exe (Sygate Technologies, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\t@x aktuell.lnk = C:\Programme\Buhl finance\tax Steuersoftware 2012\taxaktuell.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: HP Smart Print - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Programme\Hewlett-Packard\SmartPrint\smartprintsetup.exe (Hewlett-Packard)
O9 - Extra 'Tools' menuitem : SmartPrint - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Programme\Hewlett-Packard\SmartPrint\smartprintsetup.exe (Hewlett-Packard)
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Domains: fritz.repeater ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range2 ([*] in Lokales Intranet)
O16 - DPF: {37A8A17B-2DDC-4600-BBC6-538C10AED8C0} hxxp://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader4.cab (Silverwire Image Uploader Control)
O16 - DPF: {45830FF9-D9E6-4F41-86ED-B266933D8E90} hxxp://192.168.178.88/RtspVaPgDec.cab (RtspVaPgCtrlNew Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://dl8-cdn-01.sun.com/s/ESD7/JSCDL/jdk/6u12-b04/jinstall-6u12-windows-i586-jc.cab?e=1237410193007&h=e3487e3c3b2387f7ba659b540e868c54/&filename=jinstall-6u12-windows-i586-jc.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {937FE81C-FECF-4A55-9754-49D6D6550EDC} hxxp://192.168.178.21:8085/cgi-bin/NNVRVMon.cab (NAS NVR(V) Monitor)
O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: {EFFDEEEC-F9E1-4461-91D2-DAEB8CC595F1} hxxp://192.168.178.66/CSViewer.cab (CSViewer Control)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{55C907DA-0CF5-4299-B992-F18E81EF44BC}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A26ACD95-4421-4CF0-A802-870EE15414D5}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C0144EBD-DFF6-4F8B-AA78-083B4D202FAB}: NameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.01.10 10:41:44 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.06.26 10:50:06 | 000,596,992 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Dani\Desktop\OTL.exe
[2012.06.22 09:28:08 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2012.06.21 16:27:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dani\Anwendungsdaten\Malwarebytes
[2012.06.21 16:26:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.06.21 16:26:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.06.21 16:26:14 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.06.21 16:26:14 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.06.21 16:06:22 | 004,563,474 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\Dani\Desktop\ComboFix.exe
[2012.06.21 10:24:42 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2012.06.21 10:22:39 | 004,631,272 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Dani\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[2012.06.20 18:16:20 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2012.06.20 17:28:38 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2012.06.20 17:28:38 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2012.06.20 17:28:38 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2012.06.20 17:28:38 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2012.06.20 17:27:57 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Dani\Startmenü\Programme\Verwaltung
[2012.06.20 17:27:57 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Dani\Eigene Dateien\Eigene Videos
[2012.06.20 17:27:57 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Videos
[2012.06.20 17:27:47 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012.06.20 17:27:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[2012.06.18 22:03:06 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Security Client
[2012.06.18 12:36:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
[2012.06.18 12:36:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun
[2012.06.18 12:26:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2012.06.18 12:26:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2012.06.13 17:28:51 | 000,521,728 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\jsdbgui.dll
[2012.06.07 17:59:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dani\Desktop\EbayChristof
[2012.06.07 16:57:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\t@x 2012
[2012.05.31 09:58:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Dani\Eigene Dateien\ebaybla
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.06.26 10:57:55 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2012.06.26 10:49:56 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Dani\Desktop\OTL.exe
[2012.06.26 10:47:45 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.06.26 10:47:41 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.06.23 16:50:21 | 000,002,607 | ---- | M] () -- C:\Dokumente und Einstellungen\Dani\Desktop\Microsoft Office Outlook 2003.lnk
[2012.06.21 16:26:30 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2012.06.21 16:17:36 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2012.06.21 16:05:52 | 004,563,474 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Dani\Desktop\ComboFix.exe
[2012.06.21 10:24:50 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2012.06.21 10:22:56 | 004,631,272 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Dani\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[2012.06.20 18:30:37 | 000,453,030 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.06.20 18:30:37 | 000,436,080 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.06.20 18:30:37 | 000,081,810 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.06.20 18:30:37 | 000,068,976 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.06.20 12:08:10 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Dani\defogger_reenable
[2012.06.18 22:03:38 | 000,001,912 | ---- | M] () -- C:\WINDOWS\epplauncher.mif
[2012.06.18 19:36:55 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.06.14 08:41:20 | 000,197,752 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.06.14 08:30:13 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.06.07 17:58:52 | 000,000,897 | ---- | M] () -- C:\WINDOWS\wiso.ini
[2012.06.07 16:59:36 | 000,001,836 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\t@x aktuell.lnk
[2012.06.07 16:59:36 | 000,001,817 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\t@x 2012.lnk
[2012.06.02 15:19:38 | 000,329,240 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\wucltui.dll
[2012.06.02 15:19:38 | 000,329,240 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wucltui.dll
[2012.06.02 15:19:38 | 000,219,160 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wuaucpl.cpl
[2012.06.02 15:19:38 | 000,210,968 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wuweb.dll
[2012.06.02 15:19:38 | 000,015,896 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\wuapi.dll.mui
[2012.06.02 15:19:34 | 000,097,304 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\cdm.dll
[2012.06.02 15:19:34 | 000,097,304 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\cdm.dll
[2012.06.02 15:19:34 | 000,053,784 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wuauclt.exe
[2012.06.02 15:19:34 | 000,045,080 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\wups2.dll
[2012.06.02 15:19:34 | 000,035,864 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\wups.dll
[2012.06.02 15:19:34 | 000,035,864 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wups.dll
[2012.06.02 15:19:28 | 000,023,576 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\wucltui.dll.mui
[2012.06.02 15:19:24 | 000,577,048 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\wuapi.dll
[2012.06.02 15:19:24 | 000,577,048 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wuapi.dll
[2012.06.02 15:19:18 | 001,933,848 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wuaueng.dll
[2012.06.02 15:18:58 | 000,275,696 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll
[2012.06.02 15:18:58 | 000,018,160 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll.mui
[2012.05.31 15:22:01 | 000,604,160 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\crypt32.dll
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.06.21 16:26:30 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2012.06.21 10:24:49 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2012.06.21 10:24:46 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2012.06.20 17:28:38 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2012.06.20 17:28:38 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2012.06.20 17:28:38 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2012.06.20 17:28:38 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2012.06.20 17:28:38 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2012.06.20 14:23:33 | 000,000,386 | -H-- | C] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2012.06.20 12:08:10 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Dani\defogger_reenable
[2012.06.18 22:03:24 | 000,001,678 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Security Essentials.lnk
[2012.06.07 16:59:36 | 000,001,836 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\t@x aktuell.lnk
[2012.06.07 16:59:36 | 000,001,817 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\t@x 2012.lnk
[2012.04.21 09:03:27 | 000,000,038 | ---- | C] () -- C:\WINDOWS\TETRIS.INI
[2012.03.11 13:44:23 | 000,053,760 | R--- | C] () -- C:\WINDOWS\System32\HPM1210SMs.dll
[2012.03.11 13:44:21 | 001,167,360 | ---- | C] () -- C:\WINDOWS\System32\HPM1210SM.exe
[2012.03.11 13:44:20 | 000,167,936 | ---- | C] () -- C:\WINDOWS\System32\HPM1210LM.DLL
[2012.03.11 13:44:14 | 000,176,128 | R--- | C] () -- C:\WINDOWS\System32\m1210nwia.dll
[2012.03.11 13:44:03 | 000,167,936 | R--- | C] () -- C:\WINDOWS\System32\m1210wia.dll
[2012.03.11 13:40:04 | 000,284,672 | ---- | C] () -- C:\WINDOWS\System32\mvhlewsi.DLL
[2012.02.16 09:36:12 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2010.12.09 15:10:10 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2009.05.27 21:00:40 | 000,008,487 | ---- | C] () -- C:\Dokumente und Einstellungen\Dani\ChristofSchriebl_schriebl_elster.pfx
[2009.02.12 12:29:38 | 000,000,093 | ---- | C] () -- C:\Dokumente und Einstellungen\Dani\default.pls
[2009.01.11 17:19:51 | 000,007,168 | ---- | C] () -- C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006.02.28 14:00:00 | 000,002,048 | -HS- | C] () -- C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\{35261134-1709-f86a-0e83-eb3e84c6efda}\@

< End of report >

Code:
OTL Extras logfile created on: 26.06.2012 10:51:19 - Run 2
OTL by OldTimer - Version 3.2.53.0    Folder = C:\Dokumente und Einstellungen\Dani\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
958,48 Mb Total Physical Memory | 485,03 Mb Available Physical Memory | 50,60% Memory free
2,26 Gb Paging File | 1,85 Gb Available in Paging File | 81,69% Paging File free
Paging file location(s): C:\pagefile.sys 1440 2880 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 108,78 Gb Total Space | 76,80 Gb Free Space | 70,60% Space Free | Partition Type: NTFS
Drive D: | 247,40 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive E: | 40,26 Gb Total Space | 10,22 Gb Free Space | 25,38% Space Free | Partition Type: FAT32
Drive F: | 963,72 Mb Total Space | 943,33 Mb Free Space | 97,88% Space Free | Partition Type: FAT
 
Computer Name: DANIS-LAPTOPWXP | User Name: Dani | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [JPEG && PNG Stripper] -- "C:\Dokumente und Einstellungen\Dani\Desktop\Stripper\Stripper.exe" /GUI=1 "%1" (SteelBytes)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0E448256-D515-4C3E-A5BE-0A7B76CED5D4}" = hppM1130M1210SeriesLaserJetService
"{0E806605-5B82-4A4F-BC31-AA4FADA03C42}" = t@x 2012
"{0F842B77-56EA-4AAF-8295-81A022350B5E}" = Microsoft Security Client
"{1280E900-35DA-4E08-A700-B79A5B2B8532}" = Microsoft Antimalware Service DE-DE Language Pack
"{175F0111-2968-4935-8F70-33108C6A4DE3}" = MarketResearch
"{17DFE37C-064E-4834-AD8F-A4B2B4DF68F8}" = Adobe Photoshop Elements 8.0
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1F2899C5-8938-4232-98CC-7A075ECB3172}" = t@x 2010 Standard
"{1FA6376A-3120-45DA-8686-96DEFC8A0513}" = HP LaserJet Toolbox
"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java(TM) 6 Update 12
"{2934DCB0-F8EE-11E0-A4A5-B8AC6F97B88E}" = Google Earth Plug-in
"{33FA361C-6545-4490-945C-1B869370489D}" = HP LaserJet Professional M1210 MFP Series Toolbox
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{40030378-9EB9-482A-AC10-195097CA624D}" = t@x 2009 Standard
"{50779A29-834E-4E36-BBEB-B7CABC67A825}" = Microsoft Security Client DE-DE Language Pack
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7902E313-FF0F-4493-ACB1-A8147B78DCD0}" = HPSSupply
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{93B12A27-25B5-4A0C-9601-CDF7FE495E12}_is1" = Tetris Unlimited 0.5.0
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{96E3AED5-3D0B-4BB0-84C2-1EDADB204487}" = FlashFXP v3
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = ALPS Touch Pad Driver
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A90000000001}" = Adobe Reader 9 - Deutsch
"{B0414A3B-3AE3-47B8-8FC0-2129781FF425}" = t@x 2011
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D371F551-0DB9-4CEC-844B-4C90CE91EA0B}" = hppLaserJetService
"{DA6CC3A5-1F5B-4068-8BFF-C597BB6B8158}" = hppusgM1130M1210Series
"{E8A34AC8-0137-4515-A94B-0A0946DDC251}" = Scan To
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{F860F390-78F4-4B45-8C1A-0489618E315B}" = Sygate Personal Firewall
"{FA3AFC80-05A5-45A6-BD6E-92641BF93129}" = HP LaserJet Professional M1210 MFP Series Fax Installer
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Photoshop Elements 8.0" = Adobe Photoshop Elements 8.0
"Agere Systems Soft Modem" = Agere Systems AC'97 Modem
"Bullzip PDF Printer_is1" = Bullzip PDF Printer 7.1.0.1195
"Canon LBP5000" = Canon LBP5000
"ESET Online Scanner" = ESET Online Scanner v3
"GPL Ghostscript Lite_is1" = GPL Ghostscript Lite 8.70
"HDD Health_is1" = HDD Health v3.3 Beta
"HP LaserJet Professional M1130-M1210 MFP Series" = HP LaserJet Professional M1130-M1210 MFP Series
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft Security Client" = Microsoft Security Essentials
"Mustek 1248UB v2.6" = Mustek 1248UB v2.6
"Natalie Brooks" = Natalie Brooks
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Passbild-Generator_is1" = Bewerbungsfoto-/Passbild-Generator v3.0b
"TeamViewer 4" = TeamViewer 4
"VLC media player" = VLC media player 0.9.9
"VTChromo" = S3 S3Chromo
"VTConfig3D" = S3 S3Config3D
"VTDisplay" = S3 S3Display
"VTGamma2" = S3 S3Gamma2
"VTInfo2" = S3 S3Info2
"VTOverlay" = S3 S3Overlay
"VTTrayPlus" = S3 S3TrayPlus
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
"Yahoo! Companion" = Yahoo! Toolbar
 
========== Last 20 Event Log Errors ==========
 
[ System Events ]
Error - 21.06.2012 04:23:12 | Computer Name = DANIS-LAPTOPWXP | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Microsoft Antimalware Service" wurde unerwartet beendet.
 Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 15000
 Millisekunden durchgeführt: Starten Sie den Dienst neu..
 
Error - 21.06.2012 04:33:57 | Computer Name = DANIS-LAPTOPWXP | Source = Microsoft Antimalware | ID = 2001
Description = Beim Aktualisieren der Signaturen wurde von %%860 ein Fehler festgestellt.

        Neue
 Signaturversion:      Vorherige Signaturversion: 1.129.117.0    Aktualisierungsquelle: %%859

        Aktualisierungsphase:
 %%852    Quellpfad: hxxp://www.microsoft.com    Signaturtyp: %%800    Aktualisierungstyp: %%803

        Benutzer:
 NT-AUTORITÄT\SYSTEM    Aktuelle Modulversion:      Vorherige Modulversion: 1.1.8502.0    Fehlercode:
 0x8024402c    Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates.
 Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie
 unter "Hilfe und Support".
 
Error - 21.06.2012 04:56:55 | Computer Name = DANIS-LAPTOPWXP | Source = Microsoft Antimalware | ID = 2001
Description = Beim Aktualisieren der Signaturen wurde von %%860 ein Fehler festgestellt.

        Neue
 Signaturversion:      Vorherige Signaturversion: 1.129.117.0    Aktualisierungsquelle: %%859

        Aktualisierungsphase:
 %%852    Quellpfad: hxxp://www.microsoft.com    Signaturtyp: %%800    Aktualisierungstyp: %%803

        Benutzer:
 NT-AUTORITÄT\SYSTEM    Aktuelle Modulversion:      Vorherige Modulversion: 1.1.8502.0    Fehlercode:
 0x8024402c    Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates.
 Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie
 unter "Hilfe und Support".
 
Error - 21.06.2012 09:51:15 | Computer Name = DANIS-LAPTOPWXP | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.178.28 für die Netzwerkkarte mit der Netzwerkadresse
 0040CAD31A5B wurde durch  den DHCP-Server 0.0.0.0 abgelehnt (der DHCP-Server hat
eine DHCPNACK-Meldung gesendet).
 
Error - 21.06.2012 10:07:58 | Computer Name = DANIS-LAPTOPWXP | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Microsoft Antimalware Service" wurde unerwartet beendet.
 Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 15000
 Millisekunden durchgeführt: Starten Sie den Dienst neu..
 
Error - 21.06.2012 19:45:35 | Computer Name = DANIS-LAPTOPWXP | Source = Microsoft Antimalware | ID = 2001
Description = Beim Aktualisieren der Signaturen wurde von %%860 ein Fehler festgestellt.

        Neue
 Signaturversion:      Vorherige Signaturversion: 1.129.208.0    Aktualisierungsquelle: %%859

        Aktualisierungsphase:
 %%852    Quellpfad: hxxp://www.microsoft.com    Signaturtyp: %%800    Aktualisierungstyp: %%803

        Benutzer:
 NT-AUTORITÄT\SYSTEM    Aktuelle Modulversion:      Vorherige Modulversion: 1.1.8502.0    Fehlercode:
 0x8024402c    Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates.
 Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie
 unter "Hilfe und Support".
 
Error - 22.06.2012 03:34:09 | Computer Name = DANIS-LAPTOPWXP | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Microsoft Antimalware Service" wurde unerwartet beendet.
 Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 15000
 Millisekunden durchgeführt: Starten Sie den Dienst neu..
 
Error - 22.06.2012 08:52:10 | Computer Name = DANIS-LAPTOPWXP | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
 Peer  "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
 Minuten  wiederholt.  Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
 (0x80072751)
 
Error - 22.06.2012 08:52:10 | Computer Name = DANIS-LAPTOPWXP | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 23.06.2012 07:43:55 | Computer Name = DANIS-LAPTOPWXP | Source = Microsoft Antimalware | ID = 2001
Description = Beim Aktualisieren der Signaturen wurde von %%860 ein Fehler festgestellt.

        Neue
 Signaturversion:      Vorherige Signaturversion: 1.129.208.0    Aktualisierungsquelle: %%859

        Aktualisierungsphase:
 %%852    Quellpfad: hxxp://www.microsoft.com    Signaturtyp: %%800    Aktualisierungstyp: %%803

        Benutzer:
 NT-AUTORITÄT\SYSTEM    Aktuelle Modulversion:      Vorherige Modulversion: 1.1.8502.0    Fehlercode:
 0x8024402c    Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates.
 Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie
 unter "Hilfe und Support".
 
 
< End of report >

Psychotic 26.06.2012 10:10
Dann sind wir durch! :)

Schritt 1: Java update


Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 4 ) herunter laden.
  • Wenn die installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.



Schritt 2: Adobe Reader update


Dein Adobe Reader ist veraltet. Da einige Schädlinge die Schwachstellen in veralteten Versionen nutzen, werden wir sie aktualisieren.

  • Lade dir den aktuellen Adobe Reader von hier herunter. Wichtig: Entferne den Haken für optionale Software (z.B. Google Chrome), der auf der Seite angezeigt wird, bevor du auf "Jetzt herunterladen" klickst.
  • Starte die Installation und folge den Anweisungen auf dem Bildschirm.
  • Drücke die Windows- und die R-Taste, gib im folgenden Fenster appwiz.cpl ein und klicke auf OK.
  • Suche und entferne alle älteren Reader-Versionen.



Defogger re-enable

Starte bitte den Defogger und klicke den re-enable Button




ComboFix

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
Code:
Combofix /Uninstall
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.



OTL

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.



Hier noch ein paar Tipps zur Absicherung deines Systems.

Aktualität

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.
Antviren-Software
  • Gehe sicher immer eine Antiviren-Software installiert zu haben und dass diese auch up to date ist. Auch der beste Virenscanner ist sinnlos, wenn er nicht aktuell ist!
    Eine Auswahl kostenloser Antivirenprogramme:
Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.
Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner, um diesen zu AdBlockPlus hinzuzufügen, reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.
Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Sei mißtrauisch in sozialen Netzwerken (z.B. MeinVZ, Facebook, etc) - auch, wenn Nachrichten/Einträge scheinbar von einem deiner Freunde stammen, bedeutet das noch lange nicht, dass sie unschädlich sind (Malware kann seinen Rechner verseucht haben).
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

jochsi 26.06.2012 13:16
hi nochmal,
vielen dank erstmal für die erstklassige hilfe!!!
hab alles soweit ausgeführt/eingerichtet.
grad läuft der tfc.exe noch. wie lange läuft der?
steht jetzt schon 10 min bei stopping running processes
maus lässt sich noch bewegen, aber sonst geht nix weiter.

kann der pc jetzt wieder normal verwendet werden? auch onlinebanking usw? welchen virenscanner würdest du empfehlen (wahrscheinlich ne "glaubensfrage")?

vielen dank nochmal und viele grüße nach biberach! (mein bruder wohnt da auch gg)

Psychotic 26.06.2012 13:51
Wenn der tfc sich aufgehängt hat, starte den Rechner neu und versuche es im abgesicherten Modus! ;)
Der Rechner ist, soweit ich das von hier aus beurteilen kann, sauber und kann genutzt werden. 100%ige Garantie bietet nur eine Neuinstallation! ;)

jochsi 26.06.2012 14:08
ok, super danke!

lag am malwarebytes des aufhängen. sobald der dienst beendet wird, hängt sich der pc auf. hab dann bei den diensten den mbam.... auf deaktiviert gestellt, restart, dann gings.

kurze frage noch wg onlinebanking usw, hab noch ein asus g60, da gibts so ein mini betriebssystem mit browser usw, wärs sicherer da drüber das banking und sicherheitsrelevante sachen zu machen? is glaub ich linux-basiert.

vielen dank nochmal!!!

Psychotic 26.06.2012 14:34
Zitat:
Zitat von jochsi (Beitrag 852138)

kurze frage noch wg onlinebanking usw, hab noch ein asus g60, da gibts so ein mini betriebssystem mit browser usw, wärs sicherer da drüber das banking und sicherheitsrelevante sachen zu machen? is glaub ich linux-basiert.

Ich kenne das Mini-OS nicht, aber ich kann dir sagen, dass ein Großteil der Schädlinge für Windows geschrieben ist. Wenn du also von einer unabhängigen CD bootest, wird eventuell auf dem Windows-System verankerte Malware gar nicht erst geladen!

jochsi 26.06.2012 15:31
das ist so ein quickboot-os, wird über nen extra "einschaltknopf" gestartet. dann werd ichs da drüber mal testen.

danke nochmal für die hilfe!!!!!

Psychotic 26.06.2012 16:19
Schön, dass wir helfen konnten! :abklatsch:


Dieses Thema scheint erledigt und wurde aus meinen Abos gelöscht.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:47 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131