Trojaner-Board - Windows XP bleibt komplett hängen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows XP bleibt komplett hängen (https://www.trojaner-board.de/130985-windows-xp-bleibt-komplett-haengen.html)

Windows XP bleibt komplett hängen

Hey Leute, ich hoffe ihr könnte mir bei folgendem Problem helfen:

Als ich meinen Laptop hochgefahren habe (XP SP3) wurden beim start alle Programme auch geladen. Ich habe ein Programm gestartet und nach etwas 3 Minuten fängt der PC an zu hängen bis er vollkommen stecken bleibt. Ich kann gar nichts mehr machen. Ich habe lange auf den Ausknopf gedrückt.
Neu gestartet und dann bleibt er stecken bevor Windows gebootet wurde. Bei mir kommt als erstes ein Bild von dem HP Logo und dann startet Windows...
Es ist immer unterschiedlich. Mal laden die Programme und kurz darauf bleibt er hängen oder schon vor dem booten.
Im abgesicherten Modus läuft alles super. Ein Hardware Problem könnte es daher denke ich nicht sein. Hatte auch vor dem Booten unter F12 einen HDD-self Test gestartet und da war auch alles in Ordnung.

Hoffe ihr könnt mir Helfen!

Liebe Grüße

Eins vorweg: Dieses Problem bei einem XP zu lösen kann schwer bis unmöglich sein. Bereite dich in Gedanken auf eine Neuinstallation vor.

Kannst du abgesichert Booten? ggf nur mit Eingabeaufforderung?

So funktioniert es:
Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:

Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung

Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst. Keine Logfiles einsenden, nur kurzer Hinweis.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Also wenn zugriff auf deinen Laptop hast, dann lass uns mal sehen was da alles so ist:

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
Nur Scanns durchführen zu denen Du aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Gelesen und verstanden?

Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstallation von Programmen

Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren

Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren

ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält.

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield

Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.
Starte die adwcleaner.exe mit einem Doppelklick.

Klicke auf Löschen.

Bestätige jeweils mit Ok.

Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.

Poste mir den Inhalt mit deiner nächsten Antwort.

Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 3:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 4:
Scan mit DDS+ (mit attach)

Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop.

dds.com
Schließe alle laufenden Programme und starte DDS mit Doppelklick.

Der Desktop wird verschwinden, das ist normal.

Stelle folgendes ein:

[X] dds.txt
[X] attach.txt
[ ] options for dds.txt

Ändere keine Einstellung ohne Anweisung.

Klicke auf Start.

Es werden 2 Logfiles auf deinem Desktop erstellt.
dds.txt

attach.txt

Poste die beiden Logfile hier, möglichst in CODE-Tags.

Adwcleaner

Code:

# AdwCleaner v2.010 - Datei am 17/02/2013 um 02:29:36 erstellt

# Aktualisiert am 29/11/2012 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Benutzer : HP - NOTEBOOK-HP

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\HP\Eigene Dateien\Sicherheit\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

[OK] Die Registrierungsdatenbank ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [2481 octets] - [30/11/2012 13:44:10]

AdwCleaner[R2].txt - [2559 octets] - [30/11/2012 14:12:42]

AdwCleaner[S1].txt - [2460 octets] - [30/11/2012 14:13:00]

AdwCleaner[S2].txt - [781 octets] - [17/02/2013 02:29:36]
 

########## EOF - C:\AdwCleaner[S2].txt - [840 octets] ##########

DDS+

DDS Logfile:

Code:

DDS (Ver_2012-11-20.01) - NTFS_x86 

Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 10.9.2

Run by HP at 2:36:42 on 2013-02-17

#Option MBR scan  is disabled.

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.644 [GMT 1:00]

.

AV: Microsoft Security Essentials *Enabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

.

============== Running Processes ================

.

c:\Programme\Microsoft Security Client\MsMpEng.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\SCardSvr.exe

C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Programme\Java\jre7\bin\jqs.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Programme\Orangenet\WTGService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\svchost.exe -k DcomLaunch

C:\WINDOWS\system32\svchost.exe -k rpcss

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k NetworkService

C:\WINDOWS\system32\svchost.exe -k LocalService

C:\WINDOWS\system32\svchost.exe -k LocalService

C:\WINDOWS\system32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k imgsvc

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://www.google.de/

mStart Page = hxxp://www.microsoft.com

mWindow Title = Microsoft Internet Explorer

mDefault_Page_URL = hxxp://www.microsoft.com

BHO: Octh Class: {000123B4-9B42-4900-B3F7-F4B073EFC214} - c:\programme\orbitdownloader\orbitcth.dll

BHO: Adobe PDF Link Helper: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: DivX Plus Web Player HTML5 <video>: {326E768D-4182-46FD-9C16-1449A49795F4} - c:\programme\divx\divx plus web player\ie\divxhtml5\DivXHTML5.dll

BHO: Groove GFS Browser Helper: {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - c:\programme\microsoft office\office14\GROOVEEX.DLL

BHO: Java(tm) Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\programme\java\jre7\bin\ssv.dll

BHO: Office Document Cache Handler: {B4F3A835-0E21-4959-BA22-42B3008E02FF} - c:\programme\microsoft office\office14\URLREDIR.DLL

BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - c:\programme\java\jre7\bin\jp2ssv.dll

TB: Grab Pro: {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - c:\programme\orbitdownloader\GrabPro.dll

TB: Grab Pro: {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - c:\programme\orbitdownloader\GrabPro.dll

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

dRun: [DWQueuedReporting] "c:\progra~1\gemein~1\micros~1\dw\dwtrig20.exe" -t

uPolicies-Explorer: NoDriveTypeAutoRun = dword:323

uPolicies-Explorer: NoDriveAutoRun = dword:67108863

uPolicies-Explorer: NoDrives = dword:0

mPolicies-Explorer: NoDriveAutoRun = dword:67108863

mPolicies-Explorer: NoDriveTypeAutoRun = dword:323

mPolicies-Explorer: NoDrives = dword:0

mPolicies-Explorer: NoDriveTypeAutoRun = dword:323

mPolicies-Explorer: NoDriveAutoRun = dword:67108863

IE: &Download by Orbit - c:\programme\orbitdownloader\orbitmxt.dll/201

IE: &Grab video by Orbit - c:\programme\orbitdownloader\orbitmxt.dll/204

IE: An OneNote s&enden - c:\progra~1\micros~2\office14\ONBttnIE.dll/105

IE: Do&wnload selected by Orbit - c:\programme\orbitdownloader\orbitmxt.dll/203

IE: Down&load all by Orbit - c:\programme\orbitdownloader\orbitmxt.dll/202

IE: Nach Microsoft E&xcel exportieren - c:\progra~1\micros~2\office14\EXCEL.EXE/3000

IE: Senden an &Bluetooth - c:\programme\widcomm\bluetooth software\btsendto_ie_ctx.htm

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\programme\microsoft office\office14\ONBttnIE.dll

IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - c:\programme\microsoft office\office14\ONBttnIELinkedNotes.dll

IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\programme\widcomm\bluetooth software\btsendto_ie.htm

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe

DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://go.microsoft.com/fwlink/?linkid=39204

DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1346406125562

DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1346406169265

Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\programme\gemeinsame dateien\microsoft shared\office14\MSOXMLMF.DLL

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\programme\gemeinsame dateien\skype\Skype4COM.dll

Notify: igfxcui - igfxdev.dll

SEH: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - c:\programme\microsoft office\office14\GROOVEEX.DLL

.

================= FIREFOX ===================

.

FF - ProfilePath - c:\dokumente und einstellungen\hp\anwendungsdaten\mozilla\firefox\profiles\vn024bks.default\

FF - plugin: c:\dokumente und einstellungen\hp\anwendungsdaten\mozilla\firefox\profiles\vn024bks.default\extensions\{c840e246-6b95-475e-9bd7-caa1c7eca9f2}\plugins\np-mswmp.dll

FF - plugin: c:\progra~1\micros~2\office14\NPAUTHZ.DLL

FF - plugin: c:\progra~1\micros~2\office14\NPSPWRAP.DLL

FF - plugin: c:\programme\adobe\reader 10.0\reader\air\nppdf32.dll

FF - plugin: c:\programme\divx\divx ovs helper\npovshelper.dll

FF - plugin: c:\programme\divx\divx plus web player\npdivx32.dll

FF - plugin: c:\programme\java\jre7\bin\plugin2\npjp2.dll

FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_5_502_110.dll

FF - plugin: c:\windows\system32\npDeployJava1.dll

FF - plugin: c:\windows\system32\npptools.dll

.

---- FIREFOX POLICIES ----

FF - user.js: extensions.searchya.hmpg - false

FF - user.js: extensions.searchya.hmpgUrl - hxxp://www.searchya.com/?s=0&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965

FF - user.js: extensions.searchya.dfltSrch - false

FF - user.js: extensions.searchya.srchPrvdr - Search

FF - user.js: extensions.searchya.dnsErr - true

FF - user.js: extensions.searchya_i.newTab - false

FF - user.js: extensions.searchya.newTabUrl - hxxp://www.searchya.com/?s=2&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965

FF - user.js: extensions.searchya.tlbrSrchUrl - hxxp://www.searchya.com/?s=3&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965&q=

FF - user.js: extensions.searchya.id - 00904BF982CF8C1E

FF - user.js: extensions.searchya.instlDay - 15615

FF - user.js: extensions.searchya.vrsn - 1.5.25.0

FF - user.js: extensions.searchya.vrsni - 1.5.25.0

FF - user.js: extensions.searchya_i.vrsnTs - 1.5.25.08:42:24

FF - user.js: extensions.searchya.prtnrId - searchya

FF - user.js: extensions.searchya.prdct - searchya

FF - user.js: extensions.searchya.aflt - foxtab

FF - user.js: extensions.searchya_i.smplGrp - none

FF - user.js: extensions.searchya.tlbrId - base

FF - user.js: extensions.searchya.instlRef - tc-100

FF - user.js: extensions.searchya.dfltLng - 

FF - user.js: extensions.searchya.excTlbr - false

FF - user.js: extensions.searchya.autoRvrt - false

FF - user.js: extensions.searchya.envrmnt - production

FF - user.js: extensions.searchya.isdcmntcmplt - true

FF - user.js: extensions.searchya.mntrvrsn - 1.3.0

.

============= SERVICES / DRIVERS ===============

.

R0 MpFilter;Microsoft Malware Protection Driver;c:\windows\system32\drivers\MpFilter.sys [2012-8-30 193552]

R2 StarWindServiceAE;StarWind AE Service;c:\programme\alcohol soft\alcohol 120\starwind\StarWindServiceAE.exe [2009-12-23 370688]

R2 WTGService;WTGService;c:\programme\orangenet\WTGService.exe [2012-9-18 312784]

R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [2012-8-31 88192]

S2 AxAutoMntSrv;Alcohol Virtual Drive Auto-mount Service;c:\programme\alcohol soft\alcohol 120\AxAutoMntSrv.exe [2012-1-5 75624]

S2 SkypeUpdate;Skype Updater;c:\programme\skype\updater\Updater.exe [2012-7-13 160944]

S3 ZTEusbMB;ZTE NMEAExt2 Port;c:\windows\system32\drivers\ZTEusbnmeaext2.sys [2012-9-18 105088]

S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [2012-9-18 114688]

S3 ZTEusbnmeaext;ZTE NMEAExt Port;c:\windows\system32\drivers\ZTEusbnmeaext.sys [2012-9-18 105088]

S3 ZTEWMSD_637;ZTE WCDMA 637 Dummy MSD Device;c:\windows\system32\drivers\ZTEWMSD_637.sys [2012-9-18 15360]

.

=============== Created Last 30 ================

.

2013-02-16 20:44:57        6991832        ----a-w-        c:\dokumente und einstellungen\all users\anwendungsdaten\microsoft\microsoft antimalware\definition updates\{adaeb0b6-267e-4b7e-b3c4-9f3e0b735748}\mpengine.dll

2013-02-15 01:19:12        6991832        ------w-        c:\dokumente und einstellungen\all users\anwendungsdaten\microsoft\microsoft antimalware\definition updates\backup\mpengine.dll

2013-02-12 18:58:01        --------        d-----w-        c:\dokumente und einstellungen\all users\anwendungsdaten\Zbshareware Lab

2013-02-12 18:57:45        --------        d-----w-        c:\programme\USB Disk Security

2013-02-07 01:31:18        --------        d-----w-        c:\dokumente und einstellungen\all users\anwendungsdaten\IDM

.

==================== Find3M  ====================

.

2013-02-16 21:27:15        697712        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-02-16 21:27:14        74096        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-02-16 21:26:59        15739760        ----a-w-        c:\windows\system32\FlashPlayerInstaller.exe

2013-01-30 10:53:21        232336        ------w-        c:\windows\system32\MpSigStub.exe

2013-01-26 03:55:37        552448        ----a-w-        c:\windows\system32\oleaut32.dll

2013-01-07 07:24:26        2195328        ----a-w-        c:\windows\system32\ntoskrnl.exe

2013-01-07 07:24:26        2072064        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2013-01-04 10:09:09        1867392        ----a-w-        c:\windows\system32\win32k.sys

2013-01-02 06:49:00        148992        ----a-w-        c:\windows\system32\mpg2splt.ax

2013-01-02 06:49:00        1297920        ----a-w-        c:\windows\system32\quartz.dll

2012-12-16 12:23:59        290560        ----a-w-        c:\windows\system32\atmfd.dll

2012-12-14 15:49:28        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

.

============= FINISH:  2:37:29,87 ===============

--- --- ---

Attach

Code:

.

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

IF REQUESTED, ZIP IT UP & ATTACH IT

.

DDS (Ver_2012-11-20.01)

.

Microsoft Windows XP Professional

Boot Device: \Device\HarddiskVolume1

Install Date: 31.08.2012 11:04:45

System Uptime: 17.02.2013 02:34:00 (0 hours ago)

.

Motherboard: Hewlett-Packard |  | 099C

Processor:         Intel(R) Pentium(R) M processor 1.73GHz | JP12 | 1728/133mhz

.

==== Disk Partitions =========================

.

C: is FIXED (NTFS) - 56 GiB total, 14,805 GiB free.

D: is CDROM ()

F: is CDROM ()

G: is CDROM ()

H: is CDROM ()

J: is CDROM ()

K: is CDROM ()

.

==== Disabled Device Manager Items =============

.

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}

Description: Broadcom 802.11b/g WLAN

Device ID: PCI\VEN_14E4&DEV_4318&SUBSYS_1356103C&REV_02\4&AD1B67F&0&20F0

Manufacturer: Broadcom

Name: Broadcom 802.11b/g WLAN

PNP Device ID: PCI\VEN_14E4&DEV_4318&SUBSYS_1356103C&REV_02\4&AD1B67F&0&20F0

Service: BCM43XX

.

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}

Description: 1394-Netzwerkadapter

Device ID: V1394\NIC1394\293D3AA6718B5000

Manufacturer: Microsoft

Name: 1394-Netzwerkadapter

PNP Device ID: V1394\NIC1394\293D3AA6718B5000

Service: NIC1394

.

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}

Description: Broadcom NetXtreme Gigabit Ethernet

Device ID: PCI\VEN_14E4&DEV_165E&SUBSYS_099C103C&REV_03\4&AD1B67F&0&70F0

Manufacturer: Broadcom

Name: Broadcom NetXtreme Gigabit Ethernet

PNP Device ID: PCI\VEN_14E4&DEV_165E&SUBSYS_099C103C&REV_03\4&AD1B67F&0&70F0

Service: b57w2k

.

==== System Restore Points ===================

.

No restore point in system.

.

==== Installed Programs ======================

.

Adobe Flash Player 11 ActiveX

Adobe Flash Player 11 Plugin

Adobe Reader X (10.1.5) - Deutsch

Agere Systems AC'97 Modem

ASIO4ALL

Audacity 2.0.2

Broadcom 440x 10/100 Integrated Controller

Broadcom 802.11 Wireless LAN Adapter

Broadcom NetXtreme Ethernet Controller

Counter-Strike 1.6: New Era

DAEMON Tools Pro

Definition Update for Microsoft Office 2010 (KB982726) 32-Bit Edition

DivX-Setup

ESET Online Scanner v3

FL Studio 10

GameShadow

GOM Player

Guitar Pro 5.2

Hotfix für Windows XP (KB2633952)

Hotfix für Windows XP (KB2756822)

Hotfix für Windows XP (KB2779562)

Hotfix für Windows XP (KB952287)

Hotfix für Windows XP (KB961118)

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)

Hotfix for Windows XP (KB954550-v5)

Hotfix for Windows XP (KB976002-v5)

HP Integrated Module with Bluetooth wireless technology

IL Download Manager

Intel(R) Graphics Media Accelerator Driver for Mobile

Internet Download Manager 5.18.8.0

Java 7 Update 9

Java Auto Updater

LAME v3.99.3 (for Windows)

LingoDict 2.1.1

Malwarebytes Anti-Malware Version 1.70.0.1100

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2

Microsoft .NET Framework 3.5 SP1

Microsoft Application Error Reporting

Microsoft Office 2010 Service Pack 1 (SP1)

Microsoft Office Access MUI (German) 2010

Microsoft Office Excel MUI (German) 2010

Microsoft Office Groove MUI (German) 2010

Microsoft Office InfoPath MUI (German) 2010

Microsoft Office OneNote MUI (German) 2010

Microsoft Office Outlook MUI (German) 2010

Microsoft Office PowerPoint MUI (German) 2010

Microsoft Office Professional Plus 2010

Microsoft Office Proof (English) 2010

Microsoft Office Proof (French) 2010

Microsoft Office Proof (German) 2010

Microsoft Office Proof (Italian) 2010

Microsoft Office Proofing (German) 2010

Microsoft Office Publisher MUI (German) 2010

Microsoft Office Shared MUI (German) 2010

Microsoft Office Word MUI (German) 2010

Microsoft Security Client

Microsoft Security Essentials

Microsoft Software Update for Web Folders  (German) 14

Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219

Mozilla Firefox 15.0.1 (x86 de)

Mozilla Maintenance Service

Orange net

Orbit Downloader

Quick Launch Buttons 5.10 B5

Rosetta Stone Version 3

Security Update for Microsoft .NET Framework 3.5 SP1 (KB2604111)

Security Update for Microsoft .NET Framework 3.5 SP1 (KB2657424)

Security Update for Microsoft .NET Framework 3.5 SP1 (KB2736416)

Security Update for Microsoft Excel 2010 (KB2597126) 32-Bit Edition

Security Update for Microsoft InfoPath 2010 (KB2687417) 32-Bit Edition

Security Update for Microsoft InfoPath 2010 (KB2687436) 32-Bit Edition

Security Update for Microsoft Office 2010 (KB2553091)

Security Update for Microsoft Office 2010 (KB2553096)

Security Update for Microsoft Office 2010 (KB2553371) 32-Bit Edition

Security Update for Microsoft Office 2010 (KB2553447) 32-Bit Edition

Security Update for Microsoft Office 2010 (KB2589320) 32-Bit Edition

Security Update for Microsoft Office 2010 (KB2589337) 32-Bit Edition

Security Update for Microsoft Office 2010 (KB2597986) 32-Bit Edition

Security Update for Microsoft Office 2010 (KB2598243) 32-Bit Edition

Security Update for Microsoft Office 2010 (KB2687501) 32-Bit Edition

Security Update for Microsoft Office 2010 (KB2687510) 32-Bit Edition

Security Update for Microsoft Visio 2010 (KB2687508) 32-Bit Edition

Security Update for Microsoft Visio Viewer 2010 (KB2598287) 32-Bit Edition

Security Update for Microsoft Word 2010 (KB2760410) 32-Bit Edition

Sicherheitsupdate für Microsoft Windows (KB2564958)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2618444)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2722913)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2744842)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2761465)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2797052)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2799329)

Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)

Sicherheitsupdate für Windows Media Player (KB2378111)

Sicherheitsupdate für Windows Media Player (KB952069)

Sicherheitsupdate für Windows Media Player (KB954155)

Sicherheitsupdate für Windows Media Player (KB973540)

Sicherheitsupdate für Windows Media Player (KB975558)

Sicherheitsupdate für Windows Media Player (KB978695)

Sicherheitsupdate für Windows XP (KB2115168)

Sicherheitsupdate für Windows XP (KB2229593)

Sicherheitsupdate für Windows XP (KB2296011)

Sicherheitsupdate für Windows XP (KB2347290)

Sicherheitsupdate für Windows XP (KB2360937)

Sicherheitsupdate für Windows XP (KB2387149)

Sicherheitsupdate für Windows XP (KB2393802)

Sicherheitsupdate für Windows XP (KB2419632)

Sicherheitsupdate für Windows XP (KB2423089)

Sicherheitsupdate für Windows XP (KB2440591)

Sicherheitsupdate für Windows XP (KB2443105)

Sicherheitsupdate für Windows XP (KB2476490)

Sicherheitsupdate für Windows XP (KB2478960)

Sicherheitsupdate für Windows XP (KB2478971)

Sicherheitsupdate für Windows XP (KB2479943)

Sicherheitsupdate für Windows XP (KB2481109)

Sicherheitsupdate für Windows XP (KB2483185)

Sicherheitsupdate für Windows XP (KB2485663)

Sicherheitsupdate für Windows XP (KB2506212)

Sicherheitsupdate für Windows XP (KB2507618)

Sicherheitsupdate für Windows XP (KB2507938)

Sicherheitsupdate für Windows XP (KB2508429)

Sicherheitsupdate für Windows XP (KB2509553)

Sicherheitsupdate für Windows XP (KB2510581)

Sicherheitsupdate für Windows XP (KB2535512)

Sicherheitsupdate für Windows XP (KB2536276-v2)

Sicherheitsupdate für Windows XP (KB2544521)

Sicherheitsupdate für Windows XP (KB2544893-v2)

Sicherheitsupdate für Windows XP (KB2566454)

Sicherheitsupdate für Windows XP (KB2570947)

Sicherheitsupdate für Windows XP (KB2584146)

Sicherheitsupdate für Windows XP (KB2585542)

Sicherheitsupdate für Windows XP (KB2592799)

Sicherheitsupdate für Windows XP (KB2598479)

Sicherheitsupdate für Windows XP (KB2603381)

Sicherheitsupdate für Windows XP (KB2618451)

Sicherheitsupdate für Windows XP (KB2619339)

Sicherheitsupdate für Windows XP (KB2620712)

Sicherheitsupdate für Windows XP (KB2624667)

Sicherheitsupdate für Windows XP (KB2631813)

Sicherheitsupdate für Windows XP (KB2646524)

Sicherheitsupdate für Windows XP (KB2653956)

Sicherheitsupdate für Windows XP (KB2655992)

Sicherheitsupdate für Windows XP (KB2659262)

Sicherheitsupdate für Windows XP (KB2661637)

Sicherheitsupdate für Windows XP (KB2676562)

Sicherheitsupdate für Windows XP (KB2686509)

Sicherheitsupdate für Windows XP (KB2691442)

Sicherheitsupdate für Windows XP (KB2695962)

Sicherheitsupdate für Windows XP (KB2698365)

Sicherheitsupdate für Windows XP (KB2705219)

Sicherheitsupdate für Windows XP (KB2707511)

Sicherheitsupdate für Windows XP (KB2712808)

Sicherheitsupdate für Windows XP (KB2719985)

Sicherheitsupdate für Windows XP (KB2722913)

Sicherheitsupdate für Windows XP (KB2723135)

Sicherheitsupdate für Windows XP (KB2724197)

Sicherheitsupdate für Windows XP (KB2727528)

Sicherheitsupdate für Windows XP (KB2731847)

Sicherheitsupdate für Windows XP (KB2753842-v2)

Sicherheitsupdate für Windows XP (KB2753842)

Sicherheitsupdate für Windows XP (KB2757638)

Sicherheitsupdate für Windows XP (KB2758857)

Sicherheitsupdate für Windows XP (KB2761226)

Sicherheitsupdate für Windows XP (KB2770660)

Sicherheitsupdate für Windows XP (KB2778344)

Sicherheitsupdate für Windows XP (KB2779030)

Sicherheitsupdate für Windows XP (KB2780091)

Sicherheitsupdate für Windows XP (KB2799494)

Sicherheitsupdate für Windows XP (KB2802968)

Sicherheitsupdate für Windows XP (KB923561)

Sicherheitsupdate für Windows XP (KB923789)

Sicherheitsupdate für Windows XP (KB941569)

Sicherheitsupdate für Windows XP (KB946648)

Sicherheitsupdate für Windows XP (KB950762)

Sicherheitsupdate für Windows XP (KB950974)

Sicherheitsupdate für Windows XP (KB951376-v2)

Sicherheitsupdate für Windows XP (KB952004)

Sicherheitsupdate für Windows XP (KB952954)

Sicherheitsupdate für Windows XP (KB956572)

Sicherheitsupdate für Windows XP (KB956744)

Sicherheitsupdate für Windows XP (KB956802)

Sicherheitsupdate für Windows XP (KB956844)

Sicherheitsupdate für Windows XP (KB959426)

Sicherheitsupdate für Windows XP (KB960803)

Sicherheitsupdate für Windows XP (KB960859)

Sicherheitsupdate für Windows XP (KB969059)

Sicherheitsupdate für Windows XP (KB970430)

Sicherheitsupdate für Windows XP (KB971657)

Sicherheitsupdate für Windows XP (KB972270)

Sicherheitsupdate für Windows XP (KB973507)

Sicherheitsupdate für Windows XP (KB973869)

Sicherheitsupdate für Windows XP (KB973904)

Sicherheitsupdate für Windows XP (KB974112)

Sicherheitsupdate für Windows XP (KB974318)

Sicherheitsupdate für Windows XP (KB974392)

Sicherheitsupdate für Windows XP (KB974571)

Sicherheitsupdate für Windows XP (KB975025)

Sicherheitsupdate für Windows XP (KB975467)

Sicherheitsupdate für Windows XP (KB975560)

Sicherheitsupdate für Windows XP (KB975713)

Sicherheitsupdate für Windows XP (KB977816)

Sicherheitsupdate für Windows XP (KB977914)

Sicherheitsupdate für Windows XP (KB978338)

Sicherheitsupdate für Windows XP (KB978542)

Sicherheitsupdate für Windows XP (KB978706)

Sicherheitsupdate für Windows XP (KB979309)

Sicherheitsupdate für Windows XP (KB979482)

Sicherheitsupdate für Windows XP (KB979687)

Sicherheitsupdate für Windows XP (KB981322)

Sicherheitsupdate für Windows XP (KB981997)

Sicherheitsupdate für Windows XP (KB982132)

Sicherheitsupdate für Windows XP (KB982665)

Skype™ 5.10

SoundMAX

SRWare Iron Version SRWare Iron 19.0.1100.0

Synaptics Pointing Device Driver

Texas Instruments PCIxx21/x515/xx12 drivers.

TIPCI

UltraISO Premium V9.36

Update für Windows Internet Explorer 8 (KB2598845)

Update für Windows XP (KB2345886)

Update für Windows XP (KB2467659)

Update für Windows XP (KB2661254-v2)

Update für Windows XP (KB2718704)

Update für Windows XP (KB2736233)

Update für Windows XP (KB2749655)

Update für Windows XP (KB898461)

Update für Windows XP (KB951978)

Update für Windows XP (KB955759)

Update für Windows XP (KB968389)

Update für Windows XP (KB971029)

Update für Windows XP (KB973815)

Update for Microsoft .NET Framework 3.5 SP1 (KB963707)

Update for Microsoft Office 2010 (KB2553065)

Update for Microsoft Office 2010 (KB2553092)

Update for Microsoft Office 2010 (KB2553181) 32-Bit Edition

Update for Microsoft Office 2010 (KB2553267) 32-Bit Edition

Update for Microsoft Office 2010 (KB2553378) 32-Bit Edition

Update for Microsoft Office 2010 (KB2566458)

Update for Microsoft Office 2010 (KB2596964) 32-Bit Edition

Update for Microsoft Office 2010 (KB2687509) 32-Bit Edition

Update for Microsoft Office 2010 (KB2760631) 32-Bit Edition

Update for Microsoft OneNote 2010 (KB2687277) 32-Bit Edition

Update for Microsoft Outlook 2010 (KB2597090) 32-Bit Edition

Update for Microsoft Outlook Social Connector 2010 (KB2553406) 32-Bit Edition

Update for Microsoft PowerPoint 2010 (KB2598240) 32-Bit Edition

Update for Microsoft SharePoint Workspace 2010 (KB2589371) 32-Bit Edition

VC80CRTRedist - 8.0.50727.6195

WebFldrs XP

Winamp

Winamp Erkennungs-Plug-in

Windows Genuine Advantage Notifications (KB905474)

Windows Genuine Advantage Validation Tool (KB892130)

Windows Internet Explorer 8

Windows Media Format Runtime

WinRAR 4.11 (32-Bit)

.

==== End Of File ===========================

Bevor es weiter geht:

Ich sehe, dass du einen ESET Scan gemacht hast. Wurde da etwas gefunden? Wenn ja bitte das Logfile dazu.

Den scan habe ich nicht jetzt gemacht sondern schon etwas länger her... soll ich einen neuen machen?

Achso. Nein. Dann so :

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Entschuldigung, ich mache jetzt den Test. Ich bin auf der Dom Rep kriegst ihn dann in Deutschland so Mittags rum. Ich lasse ihn heute Nacht hier durchlaufen. Morgen früh dominikanische Zeit poste ich die Log-Datei. Sind 5 Stunden Unterschied.

Sorry habe den Test jetzt 2 mal gemacht, weil als ich beim ersten Test wieder kam, war den PC im Standby weil die Stromversorgung ausgefallen ist. Ich wusste nicht ob der Test ganz ausgeführt wurde... Deswegen habe ich einen 2. gemacht. Ich poste bei Log-Dateien.

1. Log-Datei

Code:

ComboFix 13-02-18.02 - HP 20.02.2013   2:44.2.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.609 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\HP\Desktop\ComboFix.exe

AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-01-20 bis 2013-02-20  ))))))))))))))))))))))))))))))

.

.

2013-02-20 01:17 . 2013-02-20 01:18        --------        d-----w-        c:\dokumente und einstellungen\HP\Anwendungsdaten\IDM

2013-02-20 01:17 . 2013-02-20 01:17        --------        d-----w-        c:\programme\Internet Download Manager

2013-02-16 20:44 . 2013-01-08 04:57        6991832        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ADAEB0B6-267E-4B7E-B3C4-9F3E0B735748}\mpengine.dll

2013-02-15 01:19 . 2013-01-08 04:57        6991832        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll

2013-02-12 18:58 . 2013-02-12 18:58        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zbshareware Lab

2013-02-12 18:57 . 2013-02-12 18:57        --------        d-----w-        c:\programme\USB Disk Security

2013-02-12 18:55 . 2013-02-12 18:56        --------        d-----w-        c:\dokumente und einstellungen\Administrator

2013-02-07 01:31 . 2013-02-07 01:31        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\IDM

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-02-16 21:27 . 2012-08-31 10:54        697712        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-02-16 21:27 . 2012-08-31 10:54        74096        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-02-16 21:26 . 2013-01-08 19:58        15739760        ----a-w-        c:\windows\system32\FlashPlayerInstaller.exe

2013-01-30 10:53 . 2012-11-02 14:07        232336        ------w-        c:\windows\system32\MpSigStub.exe

2013-01-26 03:55 . 2008-04-14 12:00        552448        ----a-w-        c:\windows\system32\oleaut32.dll

2013-01-07 07:24 . 2008-04-14 12:00        2195328        ----a-w-        c:\windows\system32\ntoskrnl.exe

2013-01-07 07:24 . 2008-04-14 07:30        2072064        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2013-01-04 10:09 . 2008-04-14 12:00        1867392        ----a-w-        c:\windows\system32\win32k.sys

2013-01-02 06:49 . 2008-04-14 12:00        148992        ----a-w-        c:\windows\system32\mpg2splt.ax

2013-01-02 06:49 . 2008-04-14 12:00        1297920        ----a-w-        c:\windows\system32\quartz.dll

2012-12-26 20:06 . 2008-04-14 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2012-12-26 20:06 . 2008-04-14 12:00        43520        ------w-        c:\windows\system32\licmgr10.dll

2012-12-26 20:06 . 2008-04-14 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-12-24 06:40 . 2008-04-14 12:00        385024        ------w-        c:\windows\system32\html.iec

2012-12-16 12:23 . 2008-04-14 12:00        290560        ----a-w-        c:\windows\system32\atmfd.dll

2012-12-14 15:49 . 2012-10-24 07:48        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-09-06 01:26 . 2012-09-28 06:42        266720        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IDM Shell Extension]

@="{CDC95B92-E27C-4745-A8C5-64A52A78855D}"

[HKEY_CLASSES_ROOT\CLSID\{CDC95B92-E27C-4745-A8C5-64A52A78855D}]

2010-09-29 20:53        72336        ----a-w-        c:\programme\Internet Download Manager\IDMShellExt.dll

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2010-12-20 519584]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk

backup=c:\windows\pss\BTTray.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Launcher.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Launcher.lnk

backup=c:\windows\pss\Launcher.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]

2012-01-05 15:42        75624        ----a-w-        c:\programme\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

2005-12-10 14:57        133016        ----a-w-        c:\programme\DAEMON Tools\daemon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]

2012-10-23 08:25        3108480        ----a-w-        c:\programme\DAEMON Tools Pro\DTAgent.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]

2011-07-28 23:08        1259376        ----a-w-        c:\programme\DivX\DivX Update\DivXUpdate.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

2012-07-13 11:33        17418928        ----a-r-        c:\programme\Skype\Phone\Skype.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

2012-06-20 16:13        74752        ----a-w-        c:\programme\Winamp\winampa.exe

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=

"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=

"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=

"c:\\Programme\\Winamp\\winamp.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=

"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=

"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=

"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\RosettaStoneVersion3.exe"=

"c:\\Programme\\Java\\jre7\\bin\\javaw.exe"=

"c:\\Programme\\SRWare Iron\\iron.exe"=

"c:\\Dokumente und Einstellungen\\HP\\Eigene Dateien\\Games\\Age Of Empires 2\\age2_x1\\age2_x1_1.0c.exe"=

"c:\\Dokumente und Einstellungen\\HP\\Eigene Dateien\\Games\\Age Of Empires 2\\age2_x1\\age2_x1_1.0.exe"=

"c:\\Programme\\Counter-Strike\\cstrike.exe"=

"c:\\Programme\\Counter-Strike\\hlds.exe"=

"c:\\Programme\\Counter-Strike\\hl.exe"=

.

R0 sptd;sptd;\SystemRoot\\SystemRoot\System32\Drivers\sptd.sys --> \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys [?]

R1 IDMTDI;IDMTDI;c:\windows\system32\drivers\idmtdi.sys [29.09.2010 19:56 78328]

R2 WTGService;WTGService;c:\programme\Orangenet\WTGService.exe [18.09.2012 17:21 312784]

R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [31.08.2012 12:00 88192]

S2 AxAutoMntSrv;Alcohol Virtual Drive Auto-mount Service;c:\programme\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [05.01.2012 16:42 75624]

S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [13.07.2012 12:28 160944]

S3 ZTEusbMB;ZTE NMEAExt2 Port;c:\windows\system32\drivers\ZTEusbnmeaext2.sys [18.09.2012 17:21 105088]

S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [18.09.2012 17:21 114688]

S3 ZTEusbnmeaext;ZTE NMEAExt Port;c:\windows\system32\drivers\ZTEusbnmeaext.sys [18.09.2012 17:21 105088]

S3 ZTEWMSD_637;ZTE WCDMA 637 Dummy MSD Device;c:\windows\system32\drivers\ZTEWMSD_637.sys [18.09.2012 17:21 15360]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - IDMTDI

.

Inhalt des "geplante Tasks" Ordners

.

2013-02-20 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-31 21:27]

.

2013-02-20 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job

- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-09-12 16:25]

.

2013-02-20 c:\windows\Tasks\MpIdleTask.job

- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-09-12 16:25]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

mStart Page = hxxp://www.microsoft.com

mWindow Title = Microsoft Internet Explorer

IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201

IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204

IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105

IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203

IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202

IE: Download aller Links mit IDM - c:\programme\Internet Download Manager\IEGetAll.htm

IE: Download FLV-Videoinhalt mit IDM - c:\programme\Internet Download Manager\IEGetVL.htm

IE: Download mit IDM - c:\programme\Internet Download Manager\IEExt.htm

IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000

IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

FF - ProfilePath - c:\dokumente und einstellungen\HP\Anwendungsdaten\Mozilla\Firefox\Profiles\vn024bks.default\

FF - user.js: extensions.searchya.hmpg - false

FF - user.js: extensions.searchya.hmpgUrl - hxxp://www.searchya.com/?s=0&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965

FF - user.js: extensions.searchya.dfltSrch - false

FF - user.js: extensions.searchya.srchPrvdr - Search

FF - user.js: extensions.searchya.dnsErr - true

FF - user.js: extensions.searchya_i.newTab - false

FF - user.js: extensions.searchya.newTabUrl - hxxp://www.searchya.com/?s=2&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965

FF - user.js: extensions.searchya.tlbrSrchUrl - hxxp://www.searchya.com/?s=3&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965&q=

FF - user.js: extensions.searchya.id - 00904BF982CF8C1E

FF - user.js: extensions.searchya.instlDay - 15615

FF - user.js: extensions.searchya.vrsn - 1.5.25.0

FF - user.js: extensions.searchya.vrsni - 1.5.25.0

FF - user.js: extensions.searchya_i.vrsnTs - 1.5.25.08:42

FF - user.js: extensions.searchya.prtnrId - searchya

FF - user.js: extensions.searchya.prdct - searchya

FF - user.js: extensions.searchya.aflt - foxtab

FF - user.js: extensions.searchya_i.smplGrp - none

FF - user.js: extensions.searchya.tlbrId - base

FF - user.js: extensions.searchya.instlRef - tc-100

FF - user.js: extensions.searchya.dfltLng - 

FF - user.js: extensions.searchya.excTlbr - false

FF - user.js: extensions.searchya.autoRvrt - false

FF - user.js: extensions.searchya.envrmnt - production

FF - user.js: extensions.searchya.isdcmntcmplt - true

FF - user.js: extensions.searchya.mntrvrsn - 1.3.0

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

MSConfigStartUp-uTorrent - c:\programme\uTorrent\uTorrent.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-02-20 02:54

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{07ad8e46-a14b-4584-924c-94512206649e}]

@Denied: (Full) (Everyone)

"Model"=dword:0000001d

"Therad"=dword:00000028

"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,

   38,95,44,88,79,0d,22,8e,33,17,75,bd,21,a1,6d,58,c6,ea,df,29,ed,2c,3b,1c,36,\

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]

@Denied: (Full) (Everyone)

"scansk"=hex(0):ce,fa,b1,16,70,8f,85,3f,f4,e7,b2,a7,a0,fc,15,ae,79,9a,be,ff,3b,

   f7,65,c7,cc,75,87,b5,80,30,bf,8a,e7,28,97,c9,bf,c7,2c,c5,00,00,00,00,00,00,\

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'explorer.exe'(3492)

c:\progra~1\GEMEIN~1\MICROS~1\OFFICE14\Cultures\office.odf

c:\progra~1\MICROS~2\Office14\1031\GrooveIntlResource.dll

c:\programme\Internet Download Manager\IDMShellExt.dll

c:\windows\system32\webcheck.dll

.

Zeit der Fertigstellung: 2013-02-20  02:56:32

ComboFix-quarantined-files.txt  2013-02-20 01:56

ComboFix2.txt  2012-11-30 02:52

.

Vor Suchlauf: 14 Verzeichnis(se), 15.730.479.104 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 15.806.296.064 Bytes frei

.

- - End Of File - - 9670707A103D118A7CE0A28199659B8B

2. Log-Datei

Code:

ComboFix 13-02-18.02 - HP 20.02.2013   3:13.3.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.403 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\HP\Desktop\ComboFix.exe

AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-01-20 bis 2013-02-20  ))))))))))))))))))))))))))))))

.

.

2013-02-20 01:17 . 2013-02-20 01:18        --------        d-----w-        c:\dokumente und einstellungen\HP\Anwendungsdaten\IDM

2013-02-20 01:17 . 2013-02-20 01:17        --------        d-----w-        c:\programme\Internet Download Manager

2013-02-16 20:44 . 2013-01-08 04:57        6991832        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ADAEB0B6-267E-4B7E-B3C4-9F3E0B735748}\mpengine.dll

2013-02-15 01:19 . 2013-01-08 04:57        6991832        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll

2013-02-12 18:58 . 2013-02-12 18:58        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zbshareware Lab

2013-02-12 18:57 . 2013-02-12 18:57        --------        d-----w-        c:\programme\USB Disk Security

2013-02-12 18:55 . 2013-02-12 18:56        --------        d-----w-        c:\dokumente und einstellungen\Administrator

2013-02-07 01:31 . 2013-02-07 01:31        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\IDM

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-02-16 21:27 . 2012-08-31 10:54        697712        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-02-16 21:27 . 2012-08-31 10:54        74096        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-02-16 21:26 . 2013-01-08 19:58        15739760        ----a-w-        c:\windows\system32\FlashPlayerInstaller.exe

2013-01-30 10:53 . 2012-11-02 14:07        232336        ------w-        c:\windows\system32\MpSigStub.exe

2013-01-26 03:55 . 2008-04-14 12:00        552448        ----a-w-        c:\windows\system32\oleaut32.dll

2013-01-20 14:59 . 2012-08-30 21:03        195296        ----a-w-        c:\windows\system32\drivers\MpFilter.sys

2013-01-07 07:24 . 2008-04-14 12:00        2195328        ----a-w-        c:\windows\system32\ntoskrnl.exe

2013-01-07 07:24 . 2008-04-14 07:30        2072064        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2013-01-04 10:09 . 2008-04-14 12:00        1867392        ----a-w-        c:\windows\system32\win32k.sys

2013-01-02 06:49 . 2008-04-14 12:00        148992        ----a-w-        c:\windows\system32\mpg2splt.ax

2013-01-02 06:49 . 2008-04-14 12:00        1297920        ----a-w-        c:\windows\system32\quartz.dll

2012-12-26 20:06 . 2008-04-14 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2012-12-26 20:06 . 2008-04-14 12:00        43520        ------w-        c:\windows\system32\licmgr10.dll

2012-12-26 20:06 . 2008-04-14 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-12-24 06:40 . 2008-04-14 12:00        385024        ------w-        c:\windows\system32\html.iec

2012-12-16 12:23 . 2008-04-14 12:00        290560        ----a-w-        c:\windows\system32\atmfd.dll

2012-12-14 15:49 . 2012-10-24 07:48        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-09-06 01:26 . 2012-09-28 06:42        266720        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IDM Shell Extension]

@="{CDC95B92-E27C-4745-A8C5-64A52A78855D}"

[HKEY_CLASSES_ROOT\CLSID\{CDC95B92-E27C-4745-A8C5-64A52A78855D}]

2010-09-29 20:53        72336        ----a-w-        c:\programme\Internet Download Manager\IDMShellExt.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2013-01-27 947152]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2010-12-20 519584]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk

backup=c:\windows\pss\BTTray.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Launcher.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Launcher.lnk

backup=c:\windows\pss\Launcher.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]

2012-01-05 15:42        75624        ----a-w-        c:\programme\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

2005-12-10 14:57        133016        ----a-w-        c:\programme\DAEMON Tools\daemon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]

2012-10-23 08:25        3108480        ----a-w-        c:\programme\DAEMON Tools Pro\DTAgent.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]

2011-07-28 23:08        1259376        ----a-w-        c:\programme\DivX\DivX Update\DivXUpdate.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

2012-07-13 11:33        17418928        ----a-r-        c:\programme\Skype\Phone\Skype.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

2012-06-20 16:13        74752        ----a-w-        c:\programme\Winamp\winampa.exe

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=

"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=

"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=

"c:\\Programme\\Winamp\\winamp.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=

"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=

"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=

"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\RosettaStoneVersion3.exe"=

"c:\\Programme\\Java\\jre7\\bin\\javaw.exe"=

"c:\\Programme\\SRWare Iron\\iron.exe"=

"c:\\Dokumente und Einstellungen\\HP\\Eigene Dateien\\Games\\Age Of Empires 2\\age2_x1\\age2_x1_1.0c.exe"=

"c:\\Dokumente und Einstellungen\\HP\\Eigene Dateien\\Games\\Age Of Empires 2\\age2_x1\\age2_x1_1.0.exe"=

"c:\\Programme\\Counter-Strike\\cstrike.exe"=

"c:\\Programme\\Counter-Strike\\hlds.exe"=

"c:\\Programme\\Counter-Strike\\hl.exe"=

.

R0 sptd;sptd;\SystemRoot\\SystemRoot\System32\Drivers\sptd.sys --> \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys [?]

R1 IDMTDI;IDMTDI;c:\windows\system32\drivers\idmtdi.sys [29.09.2010 19:56 78328]

R2 WTGService;WTGService;c:\programme\Orangenet\WTGService.exe [18.09.2012 17:21 312784]

R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [31.08.2012 12:00 88192]

S2 AxAutoMntSrv;Alcohol Virtual Drive Auto-mount Service;c:\programme\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [05.01.2012 16:42 75624]

S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [13.07.2012 12:28 160944]

S3 ZTEusbMB;ZTE NMEAExt2 Port;c:\windows\system32\drivers\ZTEusbnmeaext2.sys [18.09.2012 17:21 105088]

S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [18.09.2012 17:21 114688]

S3 ZTEusbnmeaext;ZTE NMEAExt Port;c:\windows\system32\drivers\ZTEusbnmeaext.sys [18.09.2012 17:21 105088]

S3 ZTEWMSD_637;ZTE WCDMA 637 Dummy MSD Device;c:\windows\system32\drivers\ZTEWMSD_637.sys [18.09.2012 17:21 15360]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - IDMTDI

*NewlyCreated* - MPFILTER

.

Inhalt des "geplante Tasks" Ordners

.

2013-02-20 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-31 21:27]

.

2013-02-20 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job

- c:\programme\Microsoft Security Client\MpCmdRun.exe [2013-01-27 10:11]

.

2013-02-20 c:\windows\Tasks\MpIdleTask.job

- c:\programme\Microsoft Security Client\MpCmdRun.exe [2013-01-27 10:11]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

mStart Page = hxxp://www.microsoft.com

mWindow Title = Microsoft Internet Explorer

IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201

IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204

IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105

IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203

IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202

IE: Download aller Links mit IDM - c:\programme\Internet Download Manager\IEGetAll.htm

IE: Download FLV-Videoinhalt mit IDM - c:\programme\Internet Download Manager\IEGetVL.htm

IE: Download mit IDM - c:\programme\Internet Download Manager\IEExt.htm

IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000

IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

FF - ProfilePath - c:\dokumente und einstellungen\HP\Anwendungsdaten\Mozilla\Firefox\Profiles\vn024bks.default\

FF - user.js: extensions.searchya.hmpg - false

FF - user.js: extensions.searchya.hmpgUrl - hxxp://www.searchya.com/?s=0&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965

FF - user.js: extensions.searchya.dfltSrch - false

FF - user.js: extensions.searchya.srchPrvdr - Search

FF - user.js: extensions.searchya.dnsErr - true

FF - user.js: extensions.searchya_i.newTab - false

FF - user.js: extensions.searchya.newTabUrl - hxxp://www.searchya.com/?s=2&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965

FF - user.js: extensions.searchya.tlbrSrchUrl - hxxp://www.searchya.com/?s=3&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965&q=

FF - user.js: extensions.searchya.id - 00904BF982CF8C1E

FF - user.js: extensions.searchya.instlDay - 15615

FF - user.js: extensions.searchya.vrsn - 1.5.25.0

FF - user.js: extensions.searchya.vrsni - 1.5.25.0

FF - user.js: extensions.searchya_i.vrsnTs - 1.5.25.08:42

FF - user.js: extensions.searchya.prtnrId - searchya

FF - user.js: extensions.searchya.prdct - searchya

FF - user.js: extensions.searchya.aflt - foxtab

FF - user.js: extensions.searchya_i.smplGrp - none

FF - user.js: extensions.searchya.tlbrId - base

FF - user.js: extensions.searchya.instlRef - tc-100

FF - user.js: extensions.searchya.dfltLng - 

FF - user.js: extensions.searchya.excTlbr - false

FF - user.js: extensions.searchya.autoRvrt - false

FF - user.js: extensions.searchya.envrmnt - production

FF - user.js: extensions.searchya.isdcmntcmplt - true

FF - user.js: extensions.searchya.mntrvrsn - 1.3.0

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-02-20 03:22

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{07ad8e46-a14b-4584-924c-94512206649e}]

@Denied: (Full) (Everyone)

"Model"=dword:0000001d

"Therad"=dword:00000028

"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,

   38,95,44,88,79,0d,22,8e,33,17,75,bd,21,a1,6d,58,c6,ea,df,29,ed,2c,3b,1c,36,\

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]

@Denied: (Full) (Everyone)

"scansk"=hex(0):ce,fa,b1,16,70,8f,85,3f,f4,e7,b2,a7,a0,fc,15,ae,79,9a,be,ff,3b,

   f7,65,c7,cc,75,87,b5,80,30,bf,8a,e7,28,97,c9,bf,c7,2c,c5,00,00,00,00,00,00,\

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(600)

c:\windows\system32\igfxdev.dll

.

- - - - - - - > 'explorer.exe'(3448)

c:\progra~1\GEMEIN~1\MICROS~1\OFFICE14\Cultures\office.odf

c:\progra~1\MICROS~2\Office14\1031\GrooveIntlResource.dll

c:\programme\Internet Download Manager\IDMShellExt.dll

c:\windows\system32\mshtml.dll

c:\windows\system32\msls31.dll

c:\windows\system32\webcheck.dll

.

Zeit der Fertigstellung: 2013-02-20  03:24:21

ComboFix-quarantined-files.txt  2013-02-20 02:24

ComboFix2.txt  2013-02-20 01:56

ComboFix3.txt  2012-11-30 02:52

.

Vor Suchlauf: 15 Verzeichnis(se), 15.772.712.960 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 15.762.518.016 Bytes frei

.

- - End Of File - - 9B041984FFBCD12109925A8BC33A63E6

Du hast da noch einiges an Werbung ...

Das sollten wir noch suchen.

Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Adware entfernen mit JRT

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
http://imageshack.us/a/img841/7292/thisisujrt.gif
Bitte lade Junkware Removal Tool auf Deinen Desktop.

Starte das Tool mit Doppelklick. Vista und 7 Nutzer bitte mit Rechtsklick "als Administrator ausführen" starten.
Das Tool wird sich öffnen und mit dem Scan beginnen.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 2:

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2
Doppelklicke auf die SystemLook.exe, um das Tool zu starten.

Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code:

:filefind *searchya* :folderfind searchya* :regfind searchya

Klicke nun auf den Button Look, um den Scan zu starten.

Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.

Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

JRT

Code:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Junkware Removal Tool (JRT) by Thisisu

Version: 4.6.5 (02.18.2013:1)

OS: Microsoft Windows XP x86

Ran by HP on 20.02.2013 at 17:23:53,40

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 
 
 
 

~~~ Services
 
 
 

~~~ Registry Values
 

Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\{0633ee93-d776-472f-a0ff-e1416b8b2e3a}\\DisplayName

Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\{0633ee93-d776-472f-a0ff-e1416b8b2e3a}\\URL
 
 
 

~~~ Registry Keys
 

Successfully deleted: [Registry Key] hkey_local_machine\software\systweak

Successfully deleted: [Registry Key] hkey_classes_root\clsid\{0055c089-8582-441b-a0bf-17b458c2a3a8}

Successfully deleted: [Registry Key] hkey_classes_root\clsid\{cc59e0f9-7e43-44fa-9faa-8377850bf205}

Successfully deleted: [Registry Key] hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{cc59e0f9-7e43-44fa-9faa-8377850bf205}
 
 
 

~~~ Files
 
 
 

~~~ Folders
 
 
 

~~~ FireFox
 

Successfully deleted: [File] C:\Dokumente und Einstellungen\HP\Anwendungsdaten\mozilla\firefox\profiles\vn024bks.default\user.js

Successfully deleted: [Folder] C:\Dokumente und Einstellungen\HP\Anwendungsdaten\mozilla\firefox\profiles\vn024bks.default\smartbar

Successfully deleted the following from C:\Dokumente und Einstellungen\HP\Anwendungsdaten\mozilla\firefox\profiles\vn024bks.default\prefs.js
 

user_pref("CT2851647.1000234.TWC_TMP_city", "SANTO DOMINGO");

user_pref("CT2851647.1000234.TWC_TMP_country", "DO");

user_pref("CT2851647.1000234.TWC_locId", "BLXX0421");

user_pref("CT2851647.1000234.TWC_location", "Santo Domingo, ");

user_pref("CT2851647.1000234.TWC_region", "OT");

user_pref("CT2851647.1000234.TWC_temp_dis", "c");

user_pref("CT2851647.1000234.TWC_wind_dis", "kmh");

user_pref("CT2851647.1000234.weatherData", "{\"icon\":\"28.png\",\"temperature\":\"28°C\",\"temperatureClear\":\"28°C\",\"highTemperature\":\"28°C\",\"lowTemperature\":\"22

user_pref("CT2851647.ENABALE_HISTORY", "{\"dataType\":\"string\",\"data\":\"true\"}");

user_pref("CT2851647.ENABLE_RETURN_WEB_SEARCH_ON_THE_PAGE", "{\"dataType\":\"string\",\"data\":\"true\"}");

user_pref("CT2851647.FirstTime", "true");

user_pref("CT2851647.FirstTimeFF3", "true");

user_pref("CT2851647.UserID", "UN46284989551461386");

user_pref("CT2851647.addressBarTakeOverEnabledInHidden", "true");

user_pref("CT2851647.autoDisableScopes", -1);

user_pref("CT2851647.cbfirsttime", "Mon Nov 19 2012 18:50:31 GMT+0100");

user_pref("CT2851647.defaultSearch", "FALSE");

user_pref("CT2851647.embeddedsData", "[{\"appId\":\"129351532245275780\",\"apiPermissions\":{\"crossDomainAjax\":true,\"getMainFrameTitle\":true,\"getMainFrameUrl\":true,\"get

user_pref("CT2851647.enableAlerts", "always");

user_pref("CT2851647.enableSearchFromAddressBar", "FALSE");

user_pref("CT2851647.firstTimeDialogOpened", "true");

user_pref("CT2851647.fixPageNotFoundError", "true");

user_pref("CT2851647.fixPageNotFoundErrorInHidden", "true");

user_pref("CT2851647.fixUrls", true);

user_pref("CT2851647.installId", "fft9B.tmp.exe");

user_pref("CT2851647.installType", "XPE");

user_pref("CT2851647.isEnableAllDialogs", "{\"dataType\":\"string\",\"data\":\"true\"}");

user_pref("CT2851647.isNewTabEnabled", true);

user_pref("CT2851647.isPerformedSmartBarTransition", "true");

user_pref("CT2851647.isToolbarShrinked", "{\"dataType\":\"string\",\"data\":\"false\"}");

user_pref("CT2851647.isWelcomPage", "{\"dataType\":\"boolean\",\"data\":\"true\"}");

user_pref("CT2851647.navigationAliasesJson", "{\"EB_SEARCH_TERM\":\"\",\"EB_MAIN_FRAME_URL\":\"hxxps%3A%2F%2Fwww.facebook.com%2Findex.php%3Fstype%3Dlo%26lh%3DAc_vesJI5P-x3_Ce\

user_pref("CT2851647.openThankYouPage", "true");

user_pref("CT2851647.openUninstallPage", "FALSE");

user_pref("CT2851647.scriptSource", "hxxp://127.0.0.1:10000/gui/");

user_pref("CT2851647.search.searchAppId", "129351532245275780");

user_pref("CT2851647.search.searchCount", "0");

user_pref("CT2851647.searchInNewTabEnabledInHidden", "true");

user_pref("CT2851647.selectToSearchBoxEnabled", "{\"dataType\":\"string\",\"data\":\"true\"}");

user_pref("CT2851647.serviceLayer_service_login_isFirstLoginInvoked", "{\"dataType\":\"boolean\",\"data\":\"true\"}");

user_pref("CT2851647.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"2\"}");

user_pref("CT2851647.serviceLayer_service_toolbarGrouping_activeCTID", "{\"dataType\":\"string\",\"data\":\"CT2851647\"}");

user_pref("CT2851647.serviceLayer_service_toolbarGrouping_activeDownloadUrl", "{\"dataType\":\"string\",\"data\":\"hxxp://uTorrentBarDE.OurToolbar.com//xpi\"}");

user_pref("CT2851647.serviceLayer_service_toolbarGrouping_activeToolbarName", "{\"dataType\":\"string\",\"data\":\"uTorrentBar_DE\"}");

user_pref("CT2851647.serviceLayer_service_toolbarGrouping_invoked", "{\"dataType\":\"string\",\"data\":\"true\"}");

user_pref("CT2851647.serviceLayer_services_appTrackingFirstTime_lastUpdate", "1353347417945");

user_pref("CT2851647.serviceLayer_services_appTracking_lastUpdate", "1353347427770");

user_pref("CT2851647.serviceLayer_services_appsMetadata_lastUpdate", "1353347418007");

user_pref("CT2851647.serviceLayer_services_gottenAppsContextMenu_lastUpdate", "1353347423202");

user_pref("CT2851647.serviceLayer_services_login_10.10.27.6_lastUpdate", "1353347424726");

user_pref("CT2851647.serviceLayer_services_otherAppsContextMenu_lastUpdate", "1353347423263");

user_pref("CT2851647.serviceLayer_services_searchAPI_lastUpdate", "1353347416032");

user_pref("CT2851647.serviceLayer_services_serviceMap_lastUpdate", "1353347415134");

user_pref("CT2851647.serviceLayer_services_toolbarContextMenu_lastUpdate", "1353347423076");

user_pref("CT2851647.serviceLayer_services_toolbarSettings_lastUpdate", "1353347415950");

user_pref("CT2851647.serviceLayer_services_translation_lastUpdate", "1353347417221");

user_pref("CT2851647.settingsINI", true);

user_pref("CT2851647.shouldFirstTimeDialog", "false");

user_pref("CT2851647.smartbar.CTID", "CT2851647");

user_pref("CT2851647.smartbar.Uninstall", "0");

user_pref("CT2851647.smartbar.toolbarName", "uTorrentBar_DE ");

user_pref("CT2851647.toolbarBornServerTime", "20-11-2012");

user_pref("CT2851647.toolbarCurrentServerTime", "20-11-2012");

user_pref("extensions.searchya.aflt", "foxtab");

user_pref("extensions.searchya.autoRvrt", false);

user_pref("extensions.searchya.cntry", "DO");

user_pref("extensions.searchya.dfltLng", "");

user_pref("extensions.searchya.dfltSrch", false);

user_pref("extensions.searchya.dnsErr", true);

user_pref("extensions.searchya.envrmnt", "production");

user_pref("extensions.searchya.excTlbr", false);

user_pref("extensions.searchya.hdrMd5", "6251C4D06BF5049A83EC2E772986244F");

user_pref("extensions.searchya.hmpg", false);

user_pref("extensions.searchya.hmpgUrl", "hxxp://www.searchya.com/?s=0&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtF

user_pref("extensions.searchya.id", "00904BF982CF8C1E");

user_pref("extensions.searchya.instlDay", "15615");

user_pref("extensions.searchya.instlRef", "tc-100");

user_pref("extensions.searchya.isdcmntcmplt", true);

user_pref("extensions.searchya.lastVrsnTs", "1.5.25.08:42:24");

user_pref("extensions.searchya.mntrvrsn", "1.3.0");

user_pref("extensions.searchya.newTab", false);

user_pref("extensions.searchya.newTabUrl", "hxxp://www.searchya.com/?s=2&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtB

user_pref("extensions.searchya.prdct", "searchya");

user_pref("extensions.searchya.prtnrId", "searchya");

user_pref("extensions.searchya.sg", "none");

user_pref("extensions.searchya.smplGrp", "none");

user_pref("extensions.searchya.srchPrvdr", "Search");

user_pref("extensions.searchya.tlbrId", "base");

user_pref("extensions.searchya.tlbrSrchUrl", "hxxp://www.searchya.com/?s=3&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtF

user_pref("extensions.searchya.vrsn", "1.5.25.0");

user_pref("extensions.searchya.vrsnTs", "1.5.25.08:42:24");

user_pref("extensions.searchya.vrsni", "1.5.25.0");

user_pref("extensions.searchya_i.newTab", false);

user_pref("extensions.searchya_i.smplGrp", "none");

user_pref("extensions.searchya_i.vrsnTs", "1.5.25.08:42:24");
 
 
 
 
 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Scan was completed on 20.02.2013 at 17:29:35,04

End of JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SystemLook

Code:

SystemLook 30.07.11 by jpshortstuff

Log created at 17:33 on 20/02/2013 by HP

Administrator - Elevation successful
 

========== filefind ==========
 

Searching for "*searchya*"

No files found.
 

========== folderfind ==========
 

Searching for "searchya*"

No folders found.
 

========== regfind ==========
 

Searching for "searchya"

[HKEY_CURRENT_USER\Software\searchya.com]

[HKEY_CURRENT_USER\Software\searchya.com\searchya]

[HKEY_CURRENT_USER\Software\searchya.com\searchya\ffxstrg]

"newtaburl"="hxxp://www.searchya.com/?s=2&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965"

[HKEY_CURRENT_USER\Software\searchya.com\searchya\ffxstrg]

"prdct"="searchya"

[HKEY_CURRENT_USER\Software\searchya.com\searchya\ffxstrg]

"prtnrid"="searchya"

[HKEY_CURRENT_USER\Software\searchya.com\searchya\ffxstrg]

"tlbrsrchurl"="hxxp://www.searchya.com/?s=3&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965&q="

[HKEY_USERS\S-1-5-21-606747145-1580436667-1417001333-1003\Software\searchya.com]

[HKEY_USERS\S-1-5-21-606747145-1580436667-1417001333-1003\Software\searchya.com\searchya]

[HKEY_USERS\S-1-5-21-606747145-1580436667-1417001333-1003\Software\searchya.com\searchya\ffxstrg]

"newtaburl"="hxxp://www.searchya.com/?s=2&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965"

[HKEY_USERS\S-1-5-21-606747145-1580436667-1417001333-1003\Software\searchya.com\searchya\ffxstrg]

"prdct"="searchya"

[HKEY_USERS\S-1-5-21-606747145-1580436667-1417001333-1003\Software\searchya.com\searchya\ffxstrg]

"prtnrid"="searchya"

[HKEY_USERS\S-1-5-21-606747145-1580436667-1417001333-1003\Software\searchya.com\searchya\ffxstrg]

"tlbrsrchurl"="hxxp://www.searchya.com/?s=3&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1QzutDtDzytDyE0B0FzyzztB0C0Fzz0CtC0EtN0D0Tzu0StByByEtN1L2XzutBtFtBtFtDtFtAyEyE&cr=203706965&q="
 

-= EOF =-

So gleich ist es geschafft :)

Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link

Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

Registry:: [-HKEY_CURRENT_USER\Software\searchya.com] [-HKEY_USERS\S-1-5-21-606747145-1580436667-1417001333-1003\Software\searchya.com] SkipFix::

Speichere dies als CFScript.txt auf deinem Desktop.

Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!

Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.

Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:

http://i266.photobucket.com/albums/i.../CFScriptB.gif

Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
Bitte füge es hier als Antwort (in CODE-Tags) ein.

Zitat:

Hinweis:
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Code:

ComboFix 13-02-20.01 - HP 21.02.2013   0:17.4.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.628 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\HP\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\HP\Desktop\CFScript.txt

AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

.

- REDUZIERTER FUNKTIONALITÄTSMODUS -

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-01-20 bis 2013-02-20  ))))))))))))))))))))))))))))))

.

.

2013-02-20 18:51 . 2013-02-08 00:45        6954968        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{335AB02B-4EC5-49DF-AA9D-32C03E405390}\mpengine.dll

2013-02-20 16:36 . 2013-01-08 04:57        6991832        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll

2013-02-20 16:23 . 2013-02-20 16:23        --------        d-----w-        c:\windows\ERUNT

2013-02-20 16:23 . 2013-02-20 16:23        --------        d-----w-        C:\JRT

2013-02-20 15:41 . 2013-02-20 19:14        --------        d-----w-        c:\dokumente und einstellungen\HP\Anwendungsdaten\Free Download Manager

2013-02-20 15:41 . 2013-02-20 15:41        --------        d-----w-        c:\programme\Free Download Manager

2013-02-20 01:17 . 2013-02-20 01:18        --------        d-----w-        c:\dokumente und einstellungen\HP\Anwendungsdaten\IDM

2013-02-12 18:58 . 2013-02-12 18:58        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zbshareware Lab

2013-02-12 18:57 . 2013-02-12 18:57        --------        d-----w-        c:\programme\USB Disk Security

2013-02-12 18:55 . 2013-02-12 18:56        --------        d-----w-        c:\dokumente und einstellungen\Administrator

2013-02-07 01:31 . 2013-02-07 01:31        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\IDM

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-02-16 21:27 . 2012-08-31 10:54        697712        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-02-16 21:27 . 2012-08-31 10:54        74096        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-02-16 21:26 . 2013-01-08 19:58        15739760        ----a-w-        c:\windows\system32\FlashPlayerInstaller.exe

2013-01-30 10:53 . 2012-11-02 14:07        232336        ------w-        c:\windows\system32\MpSigStub.exe

2013-01-26 03:55 . 2008-04-14 12:00        552448        ----a-w-        c:\windows\system32\oleaut32.dll

2013-01-20 14:59 . 2012-08-30 21:03        195296        ----a-w-        c:\windows\system32\drivers\MpFilter.sys

2013-01-07 07:24 . 2008-04-14 12:00        2195328        ----a-w-        c:\windows\system32\ntoskrnl.exe

2013-01-07 07:24 . 2008-04-14 07:30        2072064        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2013-01-04 10:09 . 2008-04-14 12:00        1867392        ----a-w-        c:\windows\system32\win32k.sys

2013-01-02 06:49 . 2008-04-14 12:00        148992        ----a-w-        c:\windows\system32\mpg2splt.ax

2013-01-02 06:49 . 2008-04-14 12:00        1297920        ----a-w-        c:\windows\system32\quartz.dll

2012-12-26 20:06 . 2008-04-14 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2012-12-26 20:06 . 2008-04-14 12:00        43520        ------w-        c:\windows\system32\licmgr10.dll

2012-12-26 20:06 . 2008-04-14 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-12-24 06:40 . 2008-04-14 12:00        385024        ------w-        c:\windows\system32\html.iec

2012-12-16 12:23 . 2008-04-14 12:00        290560        ----a-w-        c:\windows\system32\atmfd.dll

2012-12-14 15:49 . 2012-10-24 07:48        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-09-06 01:26 . 2012-09-28 06:42        266720        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2013-01-27 947152]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2010-12-20 519584]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk

backup=c:\windows\pss\BTTray.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Launcher.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Launcher.lnk

backup=c:\windows\pss\Launcher.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]

2012-01-05 15:42        75624        ----a-w-        c:\programme\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

2005-12-10 14:57        133016        ----a-w-        c:\programme\DAEMON Tools\daemon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]

2012-10-23 08:25        3108480        ----a-w-        c:\programme\DAEMON Tools Pro\DTAgent.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]

2011-07-28 23:08        1259376        ----a-w-        c:\programme\DivX\DivX Update\DivXUpdate.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

2012-07-13 11:33        17418928        ----a-r-        c:\programme\Skype\Phone\Skype.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

2012-06-20 16:13        74752        ----a-w-        c:\programme\Winamp\winampa.exe

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=

"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=

"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=

"c:\\Programme\\Winamp\\winamp.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=

"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=

"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=

"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\RosettaStoneVersion3.exe"=

"c:\\Programme\\Java\\jre7\\bin\\javaw.exe"=

"c:\\Programme\\SRWare Iron\\iron.exe"=

"c:\\Dokumente und Einstellungen\\HP\\Eigene Dateien\\Games\\Age Of Empires 2\\age2_x1\\age2_x1_1.0c.exe"=

"c:\\Dokumente und Einstellungen\\HP\\Eigene Dateien\\Games\\Age Of Empires 2\\age2_x1\\age2_x1_1.0.exe"=

"c:\\Programme\\Counter-Strike\\cstrike.exe"=

"c:\\Programme\\Counter-Strike\\hlds.exe"=

"c:\\Programme\\Counter-Strike\\hl.exe"=

.

R0 sptd;sptd;\SystemRoot\\SystemRoot\System32\Drivers\sptd.sys --> \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys [?]

R2 WTGService;WTGService;c:\programme\Orangenet\WTGService.exe [18.09.2012 17:21 312784]

R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [31.08.2012 12:00 88192]

S2 AxAutoMntSrv;Alcohol Virtual Drive Auto-mount Service;c:\programme\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [05.01.2012 16:42 75624]

S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [13.07.2012 12:28 160944]

S3 ZTEusbMB;ZTE NMEAExt2 Port;c:\windows\system32\drivers\ZTEusbnmeaext2.sys [18.09.2012 17:21 105088]

S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [18.09.2012 17:21 114688]

S3 ZTEusbnmeaext;ZTE NMEAExt Port;c:\windows\system32\drivers\ZTEusbnmeaext.sys [18.09.2012 17:21 105088]

S3 ZTEWMSD_637;ZTE WCDMA 637 Dummy MSD Device;c:\windows\system32\drivers\ZTEWMSD_637.sys [18.09.2012 17:21 15360]

.

Inhalt des "geplante Tasks" Ordners

.

2013-02-20 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-31 21:27]

.

2013-02-20 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job

- c:\programme\Microsoft Security Client\MpCmdRun.exe [2013-01-27 10:11]

.

2013-02-20 c:\windows\Tasks\MpIdleTask.job

- c:\programme\Microsoft Security Client\MpCmdRun.exe [2013-01-27 10:11]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

mStart Page = hxxp://www.microsoft.com

mWindow Title = Microsoft Internet Explorer

IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201

IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204

IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm

IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105

IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm

IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm

IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203

IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202

IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000

IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm

FF - ProfilePath - c:\dokumente und einstellungen\HP\Anwendungsdaten\Mozilla\Firefox\Profiles\vn024bks.default\

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-02-21 00:20

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{07ad8e46-a14b-4584-924c-94512206649e}]

@Denied: (Full) (Everyone)

"Model"=dword:0000001d

"Therad"=dword:00000028

"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,

   38,95,44,88,79,0d,22,8e,33,17,75,bd,21,a1,6d,58,c6,ea,df,29,ed,2c,3b,1c,36,\

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]

@Denied: (Full) (Everyone)

"scansk"=hex(0):ce,fa,b1,16,70,8f,85,3f,f4,e7,b2,a7,a0,fc,15,ae,79,9a,be,ff,3b,

   f7,65,c7,cc,75,87,b5,80,30,bf,8a,e7,28,97,c9,bf,c7,2c,c5,00,00,00,00,00,00,\

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'explorer.exe'(1712)

c:\progra~1\GEMEIN~1\MICROS~1\OFFICE14\Cultures\office.odf

c:\progra~1\MICROS~2\Office14\1031\GrooveIntlResource.dll

c:\windows\system32\webcheck.dll

.

Zeit der Fertigstellung: 2013-02-21  00:21:45

ComboFix-quarantined-files.txt  2013-02-20 23:21

ComboFix2.txt  2013-02-20 02:24

ComboFix3.txt  2013-02-20 01:56

ComboFix4.txt  2012-11-30 02:52

.

Vor Suchlauf: 15 Verzeichnis(se), 15.559.614.464 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 15.546.888.192 Bytes frei

.

- - End Of File - - CDCED4A848B0EF602582172DC08EA953

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes
Installiere das Programm in den vorgegebenen Pfad.

Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung

Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.

Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.

Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.

Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.

Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2:
ESET Online Scanner

Wichtig:
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten!
Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Bitte hier klicken ---> http://larusso.trojaner-board.de/Images/eset.jpg
Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.

IE-User müssen das Installieren eines ActiveX Elements erlauben.

Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.

Warte bis die Komponenten herunter geladen wurden.

Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.

http://img707.imageshack.us/img707/687/starteg.jpg drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange (einige Stunden) dauern! :kaffee:

Wenn der Scan beendet wurde
Klicke http://billy-oneal.com/Canned%20Spee...istThreats.png und dann http://billy-oneal.com/Canned%20Spee...esetExport.png

Speichere das Logfile als ESET.txt auf dem Desktop.

Klicke Back und Finish

Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck: LINK1 LINK2
Speichere es auf dem Desktop.

Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.

Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.