Trojaner-Board - GVU Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU Trojaner (https://www.trojaner-board.de/123394-gvu-trojaner.html)

Hallo,

leider habe ich jetzt auch einen Rechner, der diesen hartnäckigen Trojaner hat.
Ich habe ihn jetzt erstmal mit der Kasperski-CD entsperrt und ohne Internetverbindung läuft er jetzt.
Dann habe ich OTL laufen lassen und folgende Log-Files erhalten:

OTL.LOG:
OTL Logfile:

Code:

OTL logfile created on: 03.09.2012 14:14:48 - Run 1

OTL by OldTimer - Version 3.2.59.1     Folder = C:\Dokumente und Einstellungen\Andreas\Desktop

Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1,99 Gb Total Physical Memory | 1,09 Gb Available Physical Memory | 54,58% Memory free

3,84 Gb Paging File | 3,03 Gb Available in Paging File | 78,94% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 117,19 Gb Total Space | 89,08 Gb Free Space | 76,01% Space Free | Partition Type: NTFS

Drive D: | 115,69 Gb Total Space | 114,91 Gb Free Space | 99,33% Space Free | Partition Type: NTFS

Drive E: | 11,09 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS

 

Computer Name: ROENTGENPC | User Name: Andreas | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - [2012.09.03 14:06:24 | 000,598,528 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe

PRC - [2012.01.26 15:08:56 | 003,665,752 | ---- | M] () -- C:\Programme\Tobit Radio.fx\Server\rfx-server.exe

PRC - [2012.01.18 10:44:33 | 002,057,048 | ---- | M] (Tobit.Software) -- C:\Programme\Tobit Radio.fx\Client\rfx-tray.exe

PRC - [2009.12.07 15:38:02 | 001,128,008 | ---- | M] (G Data Software AG) -- C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe

PRC - [2009.11.26 13:50:52 | 000,302,152 | ---- | M] (G Data Software AG) -- C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe

PRC - [2009.11.25 03:07:32 | 001,251,488 | ---- | M] (G Data Software AG) -- C:\Programme\G Data\InternetSecurity\AVK\AVKWCtl.exe

PRC - [2009.11.25 03:05:05 | 001,547,104 | ---- | M] (G Data Software AG) -- C:\Programme\G Data\InternetSecurity\Firewall\GDFwSvc.exe

PRC - [2009.09.24 10:50:58 | 001,124,424 | ---- | M] (G DATA Software AG) -- C:\Programme\G Data\InternetSecurity\Firewall\GDFirewallTray.exe

PRC - [2009.09.18 15:49:10 | 000,924,232 | ---- | M] (G Data Software AG) -- C:\Programme\G Data\InternetSecurity\AVKTray\AVKTray.exe

PRC - [2009.08.08 12:33:28 | 000,397,896 | ---- | M] (G Data Software AG) -- C:\Programme\G Data\InternetSecurity\AVK\AVKService.exe

PRC - [2009.01.26 15:31:16 | 002,144,088 | RHS- | M] (Safer Networking Limited) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

PRC - [2007.07.25 15:50:26 | 000,079,136 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

PRC - [2007.07.18 17:55:20 | 000,451,872 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

PRC - [2007.06.01 10:21:30 | 001,209,904 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe

PRC - [2007.06.01 10:21:30 | 000,271,920 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

PRC - [2007.06.01 10:21:08 | 000,153,136 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

PRC - [2005.10.11 09:32:10 | 001,713,664 | ---- | M] (devolo AG) -- C:\Programme\devolo\portfwd\portfwd.exe

PRC - [2004.01.29 12:40:00 | 002,945,024 | ---- | M] (Solid Information Technology) -- C:\solid\solfe.exe

 

 
 ========== Modules (No Company Name) ==========

 

MOD - [2012.08.30 06:29:17 | 000,105,472 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\wpbt0.dll

MOD - [2012.01.26 15:08:56 | 003,665,752 | ---- | M] () -- C:\Programme\Tobit Radio.fx\Server\rfx-server.exe

MOD - [2012.01.26 12:39:32 | 009,560,576 | ---- | M] () -- C:\Programme\Tobit Radio.fx\Client\tobitclt.dll

MOD - [2012.01.26 11:13:36 | 000,215,552 | ---- | M] () -- C:\Programme\Tobit Radio.fx\Client\rfx-client$.ger

MOD - [2007.02.16 17:40:42 | 005,521,408 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\LightScribe\QtGui4.dll

MOD - [2007.02.16 17:40:40 | 001,466,368 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\LightScribe\QtCore4.dll

 

 
 ========== Services (SafeList) ==========

 

SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)

SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)

SRV - [2012.01.26 15:08:56 | 003,665,752 | ---- | M] () [Auto | Running] -- C:\Programme\Tobit Radio.fx\Server\rfx-server.exe -- (Radio.fx)

SRV - [2009.12.07 15:38:02 | 001,128,008 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe -- (AVKProxy)

SRV - [2009.11.26 13:50:52 | 000,302,152 | ---- | M] (G Data Software AG) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe -- (GDScan)

SRV - [2009.11.25 03:07:32 | 001,251,488 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Programme\G Data\InternetSecurity\AVK\AVKWCtl.exe -- (AVKWCtl)

SRV - [2009.11.25 03:05:05 | 001,547,104 | ---- | M] (G Data Software AG) [On_Demand | Running] -- C:\Programme\G Data\InternetSecurity\Firewall\GDFwSvc.exe -- (GDFwSvc)

SRV - [2009.08.08 12:33:28 | 000,397,896 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Programme\G Data\InternetSecurity\AVK\AVKService.exe -- (AVKService)

SRV - [2007.07.25 15:50:26 | 000,079,136 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)

SRV - [2007.06.01 10:21:30 | 000,271,920 | ---- | M] (Nero AG) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)

SRV - [2004.01.29 12:40:00 | 002,945,024 | ---- | M] (Solid Information Technology) [Auto | Running] -- C:\solid\solfe.exe -- (SOLID FE)

SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PLCMPR5.SYS -- (PLCMPR5)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)

DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)

DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)

DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)

DRV - File not found [Kernel | System | Stopped] --  -- (Changer)

DRV - [2010.07.29 13:17:43 | 000,068,976 | ---- | M] (G Data Software) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\GRD.sys -- (GRD)

DRV - [2010.07.29 13:13:26 | 000,028,616 | ---- | M] (G Data Software AG) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\GDBehave.sys -- (GDBehave)

DRV - [2010.07.29 12:58:38 | 000,055,624 | ---- | M] (G Data Software AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\MiniIcpt.sys -- (GDMnIcpt)

DRV - [2010.07.29 12:58:31 | 000,034,632 | ---- | M] (G Data Software AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HookCentre.sys -- (HookCentre)

DRV - [2010.07.29 12:58:07 | 000,051,784 | ---- | M] (G DATA Software AG) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\GDTdiIcpt.sys -- (GDTdiInterceptor)

DRV - [2010.07.29 12:58:07 | 000,022,528 | ---- | M] (G DATA Software AG) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\GDNdisIc.sys -- (GDNdisIc)

DRV - [2008.04.13 20:56:49 | 000,012,800 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usb8023.sys -- (USB_RNDIS)

DRV - [2008.03.26 19:37:26 | 004,713,472 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)

DRV - [2007.07.12 06:00:26 | 000,090,880 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)

DRV - [2004.05.17 11:21:54 | 000,017,280 | ---- | M] (Intellon, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\plcndis5.sys -- (PLCNDIS5)

DRV - [2001.08.17 12:15:56 | 000,454,912 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fxusbase.sys -- (fxusbase)

DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC

IE - HKCU\..\SearchScopes\{4327FABE-3C22-4689-8DBF-D226CF777FE9}: "URL" = hxxp://www.searchplusnetwork.com/?sp=vit4&q={searchTerms}

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 
 ========== FireFox ==========

 

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

 

 

 

O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (G Data WebFilter) - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\InternetSecurity\Webfilter\AVKWebIE.dll (G Data Software AG)

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)

O2 - BHO: (Browser Companion Helper Verifier) - {963B125B-8B21-49A2-A3A8-E37092276531} - C:\Programme\BrowserCompanion\updatebhoWin32.dll ( )

O3 - HKLM\..\Toolbar: (G Data WebFilter) - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\InternetSecurity\Webfilter\AVKWebIE.dll (G Data Software AG)

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G Data\InternetSecurity\AVKTray\AVKTray.exe (G Data Software AG)

O4 - HKLM..\Run: [GDFirewallTray] C:\Programme\G Data\InternetSecurity\Firewall\GDFirewallTray.exe (G DATA Software AG)

O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)

O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)

O4 - HKCU..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)

O4 - HKCU..\Run: [MLExtPortFwd] C:\Programme\devolo\portfwd\portfwd.exe (devolo AG)

O4 - HKCU..\Run: [RfxSrvTray] C:\Programme\Tobit Radio.fx\Client\rfx-tray.exe (Tobit.Software)

O4 - HKCU..\Run: [SkypePM] C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe File not found

O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)

O4 - Startup: C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\Verknüpfung mit SIMOCON.exe.lnk = C:\Programme\Sirona\SIMOCON\SIMOCON.exe (Sirona Dental Systems GmbH)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - D:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE (Microsoft Corporation)

O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} https://webdl.symantec.com/activex/symdlmgr.cab (Symantec Download Manager)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1225275741656 (MUWebControl Class)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{BFFF2FE3-96BB-42CF-A06F-3BC92BDA2114}: DhcpNameServer = 192.168.0.253

O18 - Protocol\Handler\base64 {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Programme\BrowserCompanion\tdataprotocol.dll (Blabbers Communications Ltd)

O18 - Protocol\Handler\chrome {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Programme\BrowserCompanion\tdataprotocol.dll (Blabbers Communications Ltd)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)

O18 - Protocol\Handler\prox {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Programme\BrowserCompanion\tdataprotocol.dll (Blabbers Communications Ltd)

O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2008.07.03 10:42:51 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2012.09.03 14:14:30 | 000,598,528 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe

[2012.08.31 13:26:27 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0

[2012.08.31 12:37:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy

[2012.08.31 12:37:14 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy

[2012.08.31 12:37:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2012.09.03 14:12:07 | 2134,732,800 | -HS- | M] () -- C:\hiberfil.sys

[2012.09.03 14:12:07 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2012.09.03 14:06:24 | 000,598,528 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe

[2012.09.03 13:41:17 | 083,023,306 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad

[2012.09.02 18:16:48 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2012.08.31 12:37:24 | 000,000,905 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Spybot - Search & Destroy.lnk

[2012.08.30 09:27:08 | 359,613,440 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Outlook.pst

[2012.08.30 09:21:10 | 000,001,507 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Editor.lnk

[2012.08.30 08:48:09 | 000,000,501 | ---- | M] () -- C:\WINDOWS\Dimaxis.ini

[2012.08.30 06:29:54 | 000,001,610 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\ctfmon.lnk

[2012.08.27 06:29:40 | 000,192,976 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2012.08.24 08:25:34 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2012.08.31 12:37:24 | 000,000,905 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Spybot - Search & Destroy.lnk

[2012.08.31 12:17:52 | 2134,732,800 | -HS- | C] () -- C:\hiberfil.sys

[2012.08.30 06:29:53 | 000,001,610 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\ctfmon.lnk

[2012.08.30 06:29:52 | 083,023,306 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad

[2012.07.25 10:42:07 | 002,648,064 | ---- | C] () -- C:\WINDOWS\System32\dvmsg.dll

[2012.02.15 07:22:19 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll

[2010.07.29 12:58:45 | 000,002,951 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Config.nt.bak

[2010.07.29 12:58:45 | 000,001,806 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Autoexec.nt.bak

[2010.07.29 12:58:45 | 000,000,820 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\hosts.bak

[2008.07.07 17:37:38 | 000,000,071 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\default.pls

 
 ========== LOP Check ==========

 

[2008.07.28 12:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FRITZ!

[2010.08.04 13:22:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA

[2008.07.03 11:34:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe

[2012.04.30 15:40:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sirona

[2008.10.07 12:18:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

[2012.07.25 10:43:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\BrowserCompanion

[2008.07.28 12:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\FRITZ!

[2012.07.25 10:43:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Tobit

 
 ========== Purity Check ==========

 

 
 

< End of report >

--- --- ---

Extras.LOG
OTL Logfile:

Code:

OTL Extras logfile created on: 03.09.2012 14:14:48 - Run 1

OTL by OldTimer - Version 3.2.59.1     Folder = C:\Dokumente und Einstellungen\Andreas\Desktop

Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1,99 Gb Total Physical Memory | 1,09 Gb Available Physical Memory | 54,58% Memory free

3,84 Gb Paging File | 3,03 Gb Available in Paging File | 78,94% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 117,19 Gb Total Space | 89,08 Gb Free Space | 76,01% Space Free | Partition Type: NTFS

Drive D: | 115,69 Gb Total Space | 114,91 Gb Free Space | 99,33% Space Free | Partition Type: NTFS

Drive E: | 11,09 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS

 

Computer Name: ROENTGENPC | User Name: Andreas | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

exefile [open] -- "%1" %*

htmlfile [edit] -- "D:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)

htmlfile [print] -- "D:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

"DisableMonitoring" = 1

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

"DisableMonitoring" = 1

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

"DisableMonitoring" = 1

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

"EnableFirewall" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 0

"DoNotAllowExceptions" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007

"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Programme\devolo\routersetup\faqroutersetup.exe" = C:\Programme\devolo\routersetup\faqroutersetup.exe:*:Enabled:MicroLink Router Konfigurations-Assistent -- (devolo AG)

"C:\Programme\devolo\portfwd\portfwd.exe" = C:\Programme\devolo\portfwd\portfwd.exe:*:Enabled:MicroLink Extended Port Forwarding -- (devolo AG)

"C:\Programme\devolo\easyshare\easyshare.exe" = C:\Programme\devolo\easyshare\easyshare.exe:*:Enabled:MicroLink EasyShare -- (devolo AG)

"C:\Programme\devolo\informer\devinf.exe" = C:\Programme\devolo\informer\devinf.exe:*:Enabled:MicroLink Informer -- (devolo AG)

"C:\Programme\Tobit Radio.fx\Server\rfx-server.exe" = C:\Programme\Tobit Radio.fx\Server\rfx-server.exe:*:Enabled:Radio.fx Server -- ()

"C:\Programme\Tobit Radio.fx\Client\rfx-client.exe" = C:\Programme\Tobit Radio.fx\Client\rfx-client.exe:*:Enabled:Radio.fx Client -- (Tobit.Software)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{001FB01C-71E3-4090-9214-D37979225943}" = Solid Flow Engine

"{1A6A6531-08FC-47AD-BAC4-C41497E71031}" = Nero 7 Essentials

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml

"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable

"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK

"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"{A1AD28CE-ADDF-46F1-94DC-7D7ACBC1451B}" = GALILEOS Viewer 1.9

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{AC76BA86-7AD7-1031-7B44-A90000000001}" = Adobe Reader 9 - Deutsch

"{B395BC1D-CC06-425E-9049-4CD985EFF004}" = LightScribe  1.8.15.1

"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver

"{CA848164-1996-4B40-BEF5-C6551447C660}" = Dimaxis Pro

"{CB84F0F2-927B-458D-9DC5-87832E3DC653}" = GearDrvs

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{D729E05E-B2B9-4DC4-AF57-47310576EDE0}" = G Data InternetSecurity

"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver

"2DAFA4C17011998EE7ACEE6D553F552C3F575E27" = Windows-Treiberpaket - Hypercom GmbH (hyc2usb) HypercomUSBDevices  (10/06/2009 2.50.0.0)

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

"Bejeweled 2 Deluxe 1.0" = Bejeweled 2 Deluxe 1.0

"BrowserCompanion" = BrowserCompanion

"Dampsoft" = DAMPSOFT auf Laufwerk D

"dslmon" = MicroLink Informer

"easyclean" = MicroLink EasyClean

"easyshare" = MicroLink EasyShare

"F09A133060652A12689D958ED1D77D6E8E3EB7CC" = Windows-Treiberpaket - XIRING CDC Com to USB Adapter Drivers (04/14/2009 9.0.0.2)

"faqroutersetup" = MicroLink Router Konfigurations-Assistent

"FRITZ!X" = AVM FRITZ!X

"HDMI" = Intel(R) Graphics Media Accelerator Driver

"HYPERCOM CT-API_is1" = HYPERCOM CT-API 03.00

"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs

"ie8" = Windows Internet Explorer 8

"IrfanView" = IrfanView (remove only)

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs

"portfwd" = MicroLink Extended Port Forwarding

"SOLID 4.1 - (UNICODE) ODBC" = SOLID 4.1 - (UNICODE) ODBC

"Tobit Radio.fx Server" = Radio.fx

"Windows Media Format Runtime" = Windows Media Format Runtime

"Windows XP Service Pack" = Windows XP Service Pack 3

 
 ========== Last 20 Event Log Errors ==========

 

[ Application Events ]

Error - 02.09.2012 12:27:04 | Computer Name = ROENTGENPC | Source = MsiInstaller | ID = 11311

Description = Produkt: Microsoft Office Professional Edition 2003 -- Fehler 1311.

 Die Quelldatei (CAB-Datei) wurde nicht gefunden: D:\MSOCache\All Users\90000407-6000-11D3-8CFE-0150048383C9\PA561401.CAB.

 Überprüfen Sie, ob die Datei existiert und ob Sie darauf zugreifen können.

 

Error - 02.09.2012 12:27:05 | Computer Name = ROENTGENPC | Source = MsiInstaller | ID = 1024

Description = Produkt: Microsoft Office Professional Edition 2003 - Update "Security

 Update for Office 2003 (KB2687323): MSCOMCTL" konnte nicht installiert werden. 

Fehlercode 1603. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung

 betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie

 folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung

 zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127

 

Error - 03.09.2012 07:54:32 | Computer Name = ROENTGENPC | Source = MsiInstaller | ID = 11311

Description = Produkt: Microsoft Office Professional Edition 2003 -- Fehler 1311.

 Die Quelldatei (CAB-Datei) wurde nicht gefunden: D:\MSOCache\All Users\90000407-6000-11D3-8CFE-0150048383C9\PA561401.CAB.

 Überprüfen Sie, ob die Datei existiert und ob Sie darauf zugreifen können.

 

Error - 03.09.2012 07:54:32 | Computer Name = ROENTGENPC | Source = MsiInstaller | ID = 1024

Description = Produkt: Microsoft Office Professional Edition 2003 - Update "Update

 for Outlook 2003 Junk E-mail Filter (KB2687403): OUTLFLTR" konnte nicht installiert

 werden. Fehlercode 1603. Windows Installer kann Protokolle erstellen, um bei der

 Problembehandlung betreffend der Installation von Softwarepaketen behilflich zu

 sein. Verwenden Sie folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung

 zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127

 

Error - 03.09.2012 07:54:47 | Computer Name = ROENTGENPC | Source = MsiInstaller | ID = 11311

Description = Produkt: Microsoft Office Professional Edition 2003 -- Fehler 1311.

 Die Quelldatei (CAB-Datei) wurde nicht gefunden: D:\MSOCache\All Users\90000407-6000-11D3-8CFE-0150048383C9\PA561401.CAB.

 Überprüfen Sie, ob die Datei existiert und ob Sie darauf zugreifen können.

 

Error - 03.09.2012 07:54:48 | Computer Name = ROENTGENPC | Source = MsiInstaller | ID = 1024

Description = Produkt: Microsoft Office Professional Edition 2003 - Update "Security

 Update for Office 2003 (KB2598361): VBE6" konnte nicht installiert werden. Fehlercode

 1603. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung

 betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie

 folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung

 zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127

 

Error - 03.09.2012 07:55:02 | Computer Name = ROENTGENPC | Source = MsiInstaller | ID = 11311

Description = Produkt: Microsoft Office Professional Edition 2003 -- Fehler 1311.

 Die Quelldatei (CAB-Datei) wurde nicht gefunden: D:\MSOCache\All Users\90000407-6000-11D3-8CFE-0150048383C9\PA561401.CAB.

 Überprüfen Sie, ob die Datei existiert und ob Sie darauf zugreifen können.

 

Error - 03.09.2012 07:55:02 | Computer Name = ROENTGENPC | Source = MsiInstaller | ID = 1024

Description = Produkt: Microsoft Office Professional Edition 2003 - Update "Security

 Update for Word 2003 (KB2598332): WINWORD" konnte nicht installiert werden. Fehlercode

 1603. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung

 betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie

 folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung

 zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127

 

Error - 03.09.2012 07:55:19 | Computer Name = ROENTGENPC | Source = MsiInstaller | ID = 11311

Description = Produkt: Microsoft Office Professional Edition 2003 -- Fehler 1311.

 Die Quelldatei (CAB-Datei) wurde nicht gefunden: D:\MSOCache\All Users\90000407-6000-11D3-8CFE-0150048383C9\PA561401.CAB.

 Überprüfen Sie, ob die Datei existiert und ob Sie darauf zugreifen können.

 

Error - 03.09.2012 07:55:19 | Computer Name = ROENTGENPC | Source = MsiInstaller | ID = 1024

Description = Produkt: Microsoft Office Professional Edition 2003 - Update "Security

 Update for Office 2003 (KB2687324): MSXML5" konnte nicht installiert werden. Fehlercode

 1603. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung

 betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie

 folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung

 zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127

 

[ System Events ]

Error - 02.09.2012 12:26:08 | Computer Name = ROENTGENPC | Source = Windows Update Agent | ID = 20

Description = Installationsfehler: Die Installation des folgenden Updates ist mit

 Fehler 0x80070643 fehlgeschlagen: Sicherheitsupdate für Microsoft Office 2003 (KB2687324)

 

Error - 02.09.2012 12:26:23 | Computer Name = ROENTGENPC | Source = Windows Update Agent | ID = 20

Description = Installationsfehler: Die Installation des folgenden Updates ist mit

 Fehler 0x80070643 fehlgeschlagen: Sicherheitsupdate für Microsoft Office 2003 (KB2598253)

 

Error - 02.09.2012 12:26:48 | Computer Name = ROENTGENPC | Source = Windows Update Agent | ID = 20

Description = Installationsfehler: Die Installation des folgenden Updates ist mit

 Fehler 0x80070643 fehlgeschlagen: Sicherheitsupdate für Microsoft Office Excel 

2003 (KB2597086)

 

Error - 02.09.2012 12:27:05 | Computer Name = ROENTGENPC | Source = Windows Update Agent | ID = 20

Description = Installationsfehler: Die Installation des folgenden Updates ist mit

 Fehler 0x80070643 fehlgeschlagen: Sicherheitsupdate für Microsoft Office 2003 (KB2687323)

 

Error - 03.09.2012 02:01:33 | Computer Name = ROENTGENPC | Source = Dhcp | ID = 1002

Description = Die IP-Adresslease 192.168.0.4 für die Netzwerkkarte mit der Netzwerkadresse

 001CC043502C wurde durch  den DHCP-Server 192.168.0.1 abgelehnt (der DHCP-Server 

hat eine DHCPNACK-Meldung gesendet).

 

Error - 03.09.2012 07:54:38 | Computer Name = ROENTGENPC | Source = Windows Update Agent | ID = 20

Description = Installationsfehler: Die Installation des folgenden Updates ist mit

 Fehler 0x80070643 fehlgeschlagen: Update für Outlook 2003 Junk E-mail Filter (KB2687403)

 

Error - 03.09.2012 07:54:53 | Computer Name = ROENTGENPC | Source = Windows Update Agent | ID = 20

Description = Installationsfehler: Die Installation des folgenden Updates ist mit

 Fehler 0x80070643 fehlgeschlagen: Sicherheitsupdate für Microsoft Office 2003 (KB2598361)

 

Error - 03.09.2012 07:55:07 | Computer Name = ROENTGENPC | Source = Windows Update Agent | ID = 20

Description = Installationsfehler: Die Installation des folgenden Updates ist mit

 Fehler 0x80070643 fehlgeschlagen: Sicherheitsupdate für Microsoft Office Word 2003

 (KB2598332)

 

Error - 03.09.2012 07:55:24 | Computer Name = ROENTGENPC | Source = Windows Update Agent | ID = 20

Description = Installationsfehler: Die Installation des folgenden Updates ist mit

 Fehler 0x80070643 fehlgeschlagen: Sicherheitsupdate für Microsoft Office 2003 (KB2687324)

 

Error - 03.09.2012 08:17:49 | Computer Name = ROENTGENPC | Source = Ntfs | ID = 262199

Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.

Führen

 Sie chkdsk auf Volume "C:" aus.

 

 

< End of report >

--- --- ---

Wie muß ich weiter vorgehen?

Vielen dank schon mal vorab...
Gerhard

:hallo:

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 4 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern mede dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

:OTL

MOD - [2012.08.30 06:29:17 | 000,105,472 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\wpbt0.dll 

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) 

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) 

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM) 

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PLCMPR5.SYS -- (PLCMPR5) 

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) 

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) 

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) 

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) 

DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) 

DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) 

DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) 

DRV - File not found [Kernel | System | Stopped] -- -- (Changer) 

DRV - [2008.03.26 19:37:26 | 004,713,472 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) 

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} 

IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 

IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC 

IE - HKCU\..\SearchScopes\{4327FABE-3C22-4689-8DBF-D226CF777FE9}: "URL" = http://www.searchplusnetwork.com/?sp=vit4&q={searchTerms} 

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

O2 - BHO: (Browser Companion Helper Verifier) - {963B125B-8B21-49A2-A3A8-E37092276531} - C:\Programme\BrowserCompanion\updatebhoWin32.dll ( ) 

O4 - HKCU..\Run: [SkypePM] C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe File not found 

O4 - Startup: C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\Verknüpfung mit SIMOCON.exe.lnk = C:\Programme\Sirona\SIMOCON\SIMOCON.exe (Sirona Dental Systems GmbH) 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O18 - Protocol\Handler\base64 {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Programme\BrowserCompanion\tdataprotocol.dll (Blabbers Communications Ltd) 

O18 - Protocol\Handler\chrome {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Programme\BrowserCompanion\tdataprotocol.dll (Blabbers Communications Ltd) 

O18 - Protocol\Handler\prox {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Programme\BrowserCompanion\tdataprotocol.dll (Blabbers Communications Ltd) 

O32 - HKLM CDRom: AutoRun - 1 

O32 - AutoRun File - [2008.07.03 10:42:51 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 

[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 

[2012.09.03 13:41:17 | 083,023,306 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad 

[2012.08.30 06:29:54 | 000,001,610 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\ctfmon.lnk 

[2012.07.25 10:43:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\BrowserCompanion 

 

:Files
 

C:\Users\Andreas\AppData\Local\{*}

C:\ProgramData\*.exe

C:\ProgramData\TEMP

C:\Users\Andreas\AppData\Local\Temp\*.exe

C:\Users\Andreas\AppData\LocalLow\Sun\Java\Deployment\cache

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

%SystemRoot%\System32\*.tmp

%SystemRoot%\SysWOW64\*.tmp

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

2. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

3. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

4. Schritt

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Hallo,

ich habe Deine Anweisungen ausgeführt. Hier die Log-Dateien.

otl-log:

Code:

All processes killed

========== OTL ==========

Service WDICA stopped successfully!

Service WDICA deleted successfully!

Service SymIMMP stopped successfully!

Service SymIMMP deleted successfully!

File system32\DRIVERS\SymIM.sys not found.

Service SymIM stopped successfully!

Service SymIM deleted successfully!

File system32\DRIVERS\SymIM.sys not found.

Service PLCMPR5 stopped successfully!

Service PLCMPR5 deleted successfully!

File C:\WINDOWS\system32\PLCMPR5.SYS not found.

Service PDRFRAME stopped successfully!

Service PDRFRAME deleted successfully!

Service PDRELI stopped successfully!

Service PDRELI deleted successfully!

Service PDFRAME stopped successfully!

Service PDFRAME deleted successfully!

Service PDCOMP stopped successfully!

Service PDCOMP deleted successfully!

Service PCIDump stopped successfully!

Service PCIDump deleted successfully!

Service lbrtfdc stopped successfully!

Service lbrtfdc deleted successfully!

Service i2omgmt stopped successfully!

Service i2omgmt deleted successfully!

Service Changer stopped successfully!

Service Changer deleted successfully!

Error: Unable to stop service IntcAzAudAddService!

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IntcAzAudAddService deleted successfully.

C:\WINDOWS\system32\drivers\RtkHDAud.sys moved successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{4327FABE-3C22-4689-8DBF-D226CF777FE9}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4327FABE-3C22-4689-8DBF-D226CF777FE9}\ not found.

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{963B125B-8B21-49A2-A3A8-E37092276531}\ deleted successfully.

C:\Programme\BrowserCompanion\updatebhoWin32.dll moved successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SkypePM deleted successfully.

File move failed. C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\Verknüpfung mit SIMOCON.exe.lnk scheduled to be moved on reboot.

C:\Programme\Sirona\SIMOCON\SIMOCON.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.

C:\Programme\BrowserCompanion\tdataprotocol.dll moved successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\base64\ deleted successfully.

Invalid CLSID key: C:\Programme\BrowserCompanion\tdataprotocol.dll

File C:\Programme\BrowserCompanion\tdataprotocol.dll not found.

File C:\Programme\BrowserCompanion\tdataprotocol.dll not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\chrome\ deleted successfully.

File C:\Programme\BrowserCompanion\tdataprotocol.dll not found.

File C:\Programme\BrowserCompanion\tdataprotocol.dll not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\prox\ deleted successfully.

File C:\Programme\BrowserCompanion\tdataprotocol.dll not found.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

C:\AUTOEXEC.BAT moved successfully.

C:\WINDOWS\System32\CONFIG.TMP deleted successfully.

C:\WINDOWS\System32\SETDF.tmp deleted successfully.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad moved successfully.

File C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\ctfmon.lnk not found.

Folder C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\BrowserCompanion\ not found.

========== FILES ==========

File\Folder C:\Users\Andreas\AppData\Local\{*} not found.

File\Folder C:\ProgramData\*.exe not found.

File\Folder C:\ProgramData\TEMP not found.

File\Folder C:\Users\Andreas\AppData\Local\Temp\*.exe not found.

File\Folder C:\Users\Andreas\AppData\LocalLow\Sun\Java\Deployment\cache not found.

File/Folder C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.

File/Folder C:\WINDOWS\System32\*.tmp not found.

File/Folder C:\WINDOWS\SysWOW64\*.tmp not found.
 < ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Auflösungscache wurde geleert.

C:\Dokumente und Einstellungen\Andreas\Desktop\cmd.bat deleted successfully.

C:\Dokumente und Einstellungen\Andreas\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: All Users

 

User: Andreas

->Temp folder emptied: 4396230 bytes

->Temporary Internet Files folder emptied: 2673563130 bytes

->Flash cache emptied: 2641149 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 42594238 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2148906 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 14952 bytes

RecycleBin emptied: 10233735 bytes

 

Total Files Cleaned = 2.609,00 mb

 

 

OTL by OldTimer - Version 3.2.59.1 log created on 09042012_092738
 

Files\Folders moved on Reboot...

File\Folder C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\Verknüpfung mit SIMOCON.exe.lnk not found!

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\wpbt0.dll moved successfully.

File\Folder C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\~DF93BB.tmp not found!

File\Folder C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\~DF9404.tmp not found!

File\Folder C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\~DF97D9.tmp not found!

File\Folder C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\~DF9815.tmp not found!

File\Folder C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\~DF9994.tmp not found!

File\Folder C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\~DF99B5.tmp not found!
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

R1-log:

Code:

# AdwCleaner v2.000 - Datei am 09/04/2012 um 10:57:38 erstellt

# Aktualisiert am 30/08/2012 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Benutzer : Andreas - ROENTGENPC

# Normaler Modus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\Andreas\Desktop\adwcleaner.exe

# Option [Suche]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Ordner Gefunden : C:\Dokumente und Einstellungen\Andreas\AppData\LocalLow\bbrs_002.tb

Ordner Gefunden : C:\Programme\BrowserCompanion
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{00CBB66B-1D3B-46D3-9577-323A336ACB50}

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531}

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00CBB66B-1D3B-46D3-9577-323A336ACB50}

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531}

Schlüssel Gefunden : HKCU\Software\Softonic

Schlüssel Gefunden : HKLM\Software\BrowserCompanion

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{373ED12D-B306-43AC-9485-A7C5133DC34C}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{ED6535E7-F778-48A5-A060-549D30024511}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\tdataprotocol.DLL

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\updatebho.DLL

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{5ACE96C0-C70A-4A4D-AF14-2E7B869345E1}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\tdataprotocol.CTData

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\tdataprotocol.CTData.1

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{830B56CB-FD22-44AA-9887-7898F4F4158D}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{8830DDF0-3042-404D-A62C-384A85E34833}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\updatebho.TimerBHO

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\updatebho.TimerBHO.1

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531}

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BrowserCompanion
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

[OK] Die Registrierungsdatenbank ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [2694 octets] - [04/09/2012 10:57:38]
 

########## EOF - C:\AdwCleaner[R1].txt - [2754 octets] ##########

S1-log:

Code:

# AdwCleaner v2.000 - Datei am 09/04/2012 um 10:59:52 erstellt

# Aktualisiert am 30/08/2012 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Benutzer : Andreas - ROENTGENPC

# Normaler Modus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\Andreas\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Ordner Gelöscht : C:\Dokumente und Einstellungen\Andreas\AppData\LocalLow\bbrs_002.tb

Ordner Gelöscht : C:\Programme\BrowserCompanion
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{00CBB66B-1D3B-46D3-9577-323A336ACB50}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00CBB66B-1D3B-46D3-9577-323A336ACB50}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531}

Schlüssel Gelöscht : HKCU\Software\Softonic

Schlüssel Gelöscht : HKLM\Software\BrowserCompanion

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{373ED12D-B306-43AC-9485-A7C5133DC34C}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{ED6535E7-F778-48A5-A060-549D30024511}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\tdataprotocol.DLL

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\updatebho.DLL

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{5ACE96C0-C70A-4A4D-AF14-2E7B869345E1}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\tdataprotocol.CTData

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\tdataprotocol.CTData.1

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{830B56CB-FD22-44AA-9887-7898F4F4158D}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{8830DDF0-3042-404D-A62C-384A85E34833}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\updatebho.TimerBHO

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\updatebho.TimerBHO.1

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BrowserCompanion
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

Wiederhergestellt : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Wiederhergestellt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Wiederhergestellt : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Wiederhergestellt : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Wiederhergestellt : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
 

*************************
 

AdwCleaner[R1].txt - [2823 octets] - [04/09/2012 10:57:38]

AdwCleaner[S1].txt - [3199 octets] - [04/09/2012 10:59:52]
 

########## EOF - C:\AdwCleaner[S1].txt - [3259 octets] ##########

Bitte das Malwarebytes Logfile posten!
(Reiter Logberichte)

sorry, habe ich überlesen. Hier ist es.

Code:

Malwarebytes Anti-Malware (Test) 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.09.04.04
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Andreas :: ROENTGENPC [Administrator]
 

Schutz: Aktiviert
 

04.09.2012 09:52:32

mbam-log-2012-09-04 (09-52-32).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 260198

Laufzeit: 32 Minute(n), 19 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 12

HKCR\CLSID\{5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} (PUP.Blabbers) -> Keine Aktion durchgeführt.

HKCR\TypeLib\{830B56CB-FD22-44AA-9887-7898F4F4158D} (PUP.Blabbers) -> Keine Aktion durchgeführt.

HKCR\tdataprotocol.CTData.1 (PUP.Blabbers) -> Keine Aktion durchgeführt.

HKCR\tdataprotocol.CTData (PUP.Blabbers) -> Keine Aktion durchgeführt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Keine Aktion durchgeführt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Keine Aktion durchgeführt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Keine Aktion durchgeführt.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Keine Aktion durchgeführt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Keine Aktion durchgeführt.

HKCR\TypeLib\{8830DDF0-3042-404D-A62C-384A85E34833} (PUP.Blabbers) -> Keine Aktion durchgeführt.

HKCR\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767} (PUP.Blabbers) -> Keine Aktion durchgeführt.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BrowserCompanion (PUP.Blabbers) -> Keine Aktion durchgeführt.
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 1

C:\Programme\BrowserCompanion (PUP.Blabbers) -> Keine Aktion durchgeführt.
 

Infizierte Dateien: 12

C:\Dokumente und Einstellungen\Andreas\AppData\LocalLow\bbrs_002.tb\content\BCHelper.exe (PUP.Blabbers) -> Keine Aktion durchgeführt.

C:\Programme\BrowserCompanion\blabbers-ff-full.xpi (PUP.Blabbers) -> Keine Aktion durchgeführt.

C:\Programme\BrowserCompanion\blabbers-ch.crx (PUP.Blabbers) -> Keine Aktion durchgeführt.

C:\Programme\BrowserCompanion\jsloader.dll (PUP.Blabbers) -> Keine Aktion durchgeführt.

C:\Programme\BrowserCompanion\logo.ico (PUP.Blabbers) -> Keine Aktion durchgeführt.

C:\Programme\BrowserCompanion\terms.lnk.url (PUP.Blabbers) -> Keine Aktion durchgeführt.

C:\Programme\BrowserCompanion\toolbar.dll (PUP.Blabbers) -> Keine Aktion durchgeführt.

C:\Programme\BrowserCompanion\uninstall.exe (PUP.Blabbers) -> Keine Aktion durchgeführt.

C:\Programme\BrowserCompanion\updater.ini (PUP.Blabbers) -> Keine Aktion durchgeführt.

C:\Programme\BrowserCompanion\widgetserv.exe (PUP.Blabbers) -> Keine Aktion durchgeführt.

C:\_OTL\MovedFiles\09042012_092738\C_Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\wpbt0.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Sehr gut! :daumenhoc

Wie laeuft der Rechner?

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Hallo,

der Rechner läuft. Ich kann wieder in's Internet ohne dass der Trojaner startet. Super.
Dadurch konnte ich jetzt Emsisoft Anti-Malware direkt herunterladen, ohne einen Zweitrechner.

Hier das Logflie:

Code:

Emsisoft Anti-Malware - Version 6.6

Letztes Update: 06.09.2012 09:09:57
 

Scan Einstellungen:
 

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\, D:\

Archiv Scan: An

ADS Scan: An
 

Scan Beginn:        06.09.2012 09:10:22
 

Key: hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{963b125b-8b21-49a2-a3a8-e37092276531}         gefunden: Trace.Registry.getstyles!E1

Key: hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{963b125b-8b21-49a2-a3a8-e37092276531}         gefunden: Trace.Registry.getstyles!E1

Key: hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{963b125b-8b21-49a2-a3a8-e37092276531}\iexplore         gefunden: Trace.Registry.getstyles!E1

C:\System Volume Information\_restore{FA68B327-F641-40CE-9D21-7BEBDAFF4C25}\RP1016\A0095800.lnk         gefunden: Trojan.LNK.Reveton!E2

D:\TDAMP\DS\remote.dll         gefunden: Riskware.RemoteAdmin.Win32.WinVNC-based.AMN!E1

D:\TDAMP\DS\VNCHooks.dll         gefunden: RemoteAccess.Win32.TightVNC.AMN!E1
 

Gescannt        543748

Gefunden        6
 

Scan Ende:        06.09.2012 09:41:43

Scan Zeit:        0:31:21

Sehr gut! :daumenhoc

Lasse die Funde in Quarantaene verschieben, dann:

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hier das Logflie:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=13921b35e900d747bf3072c572455791

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-09-07 09:10:37

# local_time=2012-09-07 11:10:37 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=4096 16777179 100 0 66605453 66605453 0 0

# compatibility_mode=8192 67108863 100 0 192 192 0 0

# scanned=54714

# found=1

# cleaned=1

# scan_time=2523

C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\BrowserCompanion\tbhcn.exe        Win32/BrowserCompanion application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 7 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Der erste Plugincheck läßt ganz kurz eine Seite sehen und dann kommt das:

Code:

Java ist Installiert und aktiviert, aber die Version ist unbekannt.

Ich habe hier Internet Explorer 8. Wie geht die Deaktivierung da?

Habe das gemacht. Allerdings kommt nur blitzt nur kurz eine Seite auf, dann kommt eine Meldung "Java aktiv, Version nicht feststellbar.
Wie geht das Java-Abschalten mit Internet Explorer 8?

Nur mit Deinstallieren.

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

adwCleaner entfernen

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Uninstall.
Bestätige mit Ja.

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
Speichere es auf Deinem Desktop.
Doppelklick auf OTL.exe um das Programm auszuführen.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Klicke auf den Button "Bereinigung"
OTL fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html

Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.

Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
temporäre Dateien löschen.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
PC wird immer langsamer - was tun?

Hallo,

vielen Dank für die tolle Hilfe.
Ich werde Euch unterstützen und weiterempfehlen.

:)

wir wuenschen eine virenfreie Zeit :)