Trojaner-Board - Hacked by PETER-100568D5F

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hacked by PETER-100568D5F - HTML/Rce.Gen (https://www.trojaner-board.de/62038-hacked-by-peter-100568d5f-html-rce-gen.html)

Hacked by PETER-100568D5F - HTML/Rce.Gen

Hallo zusammen.
Ich bin neu hier und hab auch nicht so große Ahnung von der Materie. Ich weiß, dass schon einige Anfragen zu diesem Thema kamen. Kann damit aber nicht soviel anfangen.:(

Bei mir ist folgendes Problem aufgetreten:
Beim Versuch meine Festplatte zu öffnen kommt die Fehlermeldung
- Windows Script Host ...Die Skriptdatei "C:\PETER-100568D5F.vbs" konnte nicht gefunden werden - Beim Rechtsklick und "öffnen" hab ich aber Zugang zu meiner Festplatte. Auch wenn ich den Internetexplorer aufmache steht in der Statusleiste "Hacked by PETER-100568D5F". Über den Mozilla komme ich aber problemlos ins Netz.

Nach einem Scann mit Avira AntiVir Personal 2008 wurde dieser Scannbericht erhalten:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 7. Oktober 2008 23:52

Es wird nach 1666869 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: WILLI

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 19.07.2008 15:39:37
AVSCAN.DLL : 8.1.4.0 48897 Bytes 19.07.2008 15:39:37
LUKE.DLL : 8.1.4.5 164097 Bytes 19.07.2008 15:39:38
LUKERES.DLL : 8.1.4.0 12545 Bytes 19.07.2008 15:39:38
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 15:15:56
ANTIVIR2.VDF : 7.0.6.217 3773440 Bytes 26.09.2008 15:25:26
ANTIVIR3.VDF : 7.0.7.5 306688 Bytes 07.10.2008 12:36:55
Engineversion : 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 20.04.2008 07:09:45
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 19.09.2008 11:06:07
AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 09:12:06
AERDL.DLL : 8.1.1.2 438644 Bytes 19.09.2008 11:06:06
AEPACK.DLL : 8.1.2.3 364918 Bytes 24.09.2008 14:28:27
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 19.09.2008 11:06:05
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 19.09.2008 11:06:05
AEHELP.DLL : 8.1.0.15 115063 Bytes 31.05.2008 13:29:20
AEGEN.DLL : 8.1.0.36 315764 Bytes 24.08.2008 19:06:42
AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 17:55:50
AECORE.DLL : 8.1.1.11 172406 Bytes 06.09.2008 18:56:55
AEBB.DLL : 8.1.0.1 53617 Bytes 19.07.2008 15:39:38
AVWINLL.DLL : 1.0.0.12 15105 Bytes 19.07.2008 15:39:37
AVPREF.DLL : 8.0.2.0 38657 Bytes 19.07.2008 15:39:37
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 17:55:46
AVREG.DLL : 8.0.0.1 33537 Bytes 19.07.2008 15:39:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 07:09:45
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 19.07.2008 15:39:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 07:09:45
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 19.07.2008 15:39:38
NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 07:09:45
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 19.07.2008 15:39:36
RCTEXT.DLL : 8.0.52.0 86273 Bytes 19.07.2008 15:39:36

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 7. Oktober 2008 23:52

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wisptis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WisLMSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sp_rsser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIBVE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpywareTerminatorShield.Exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Kalenderchen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '58' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ocqay.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{028F0533-F630-4913-B36C-09389162F65A}\RP216\A0066360.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.

Ende des Suchlaufs: Mittwoch, 8. Oktober 2008 01:14
Benötigte Zeit: 1:22:21 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

19160 Verzeichnisse wurden überprüft
716281 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
716278 Dateien ohne Befall
3453 Archive wurden durchsucht
2 Warnungen
2 Hinweise

In dem Moment, als Avira AntiVir die Warnung eines Befalls angab, hatte ich einen USB-Stick angesteckt.
Dies sind die Ereignissmeldungen. Trotz das ich auf "Zugriff verweigern" geklickt hatte, wurde der Zugriff erlaubt.

In der Datei 'F:\PETER-100568D5F.vbs'
wurde ein Virus oder unerwünschtes Programm 'HTML/Rce.Gen' [virus] gefunden.

In der Datei 'C:\WINDOWS\system32\WILLI.vbs'
wurde ein Virus oder unerwünschtes Programm 'HTML/Rce.Gen' [virus] gefunden.

Habe einen Fujitsu Siemens Esprimo Laptop, Intel Core2 Duo CPU, 1.50GHz; 1,99GB RAM.

Ich hoffe, ich konnte mein Problem halbwegs verständlich schildern und mir kann jemand helfen.
Was kann eigentlich alles durch so einen Trojaner/Virus passieren?

Danke schonmal und viele Grüße!

Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hallo root24,

danke für deine Antwort.
Ich habe soweit alles abgearbeitet, bis auf ComboFix. Da war ich mir unsicher wegen der Windows XP Wiederherstellungskonsole (nur SP2, habe mittlerweile SP3). Nicht, dass ich da irgendwas versemmel.

Hier mal die log-files.

Hijackthis:

Code:

 Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:04:32, on 17.10.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

c:\windows\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Programme\Launch Manager\HotkeyApp.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Kalenderchen\Kalenderchen.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\Programme\QuickTime\QTTask.exe

C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE

C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\FRITZ!DSL\IGDCTRL.EXE

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Programme\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Launch Manager\WisLMSvc.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\XXX\Desktop\HJT\qlketzd.com
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by PETER-100568D5F

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [DMS-Kalenderchen] C:\Programme\Kalenderchen\Kalenderchen.exe /autorun

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe

O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe

O4 - HKLM\..\Run: [Wbutton] C:\Programme\Launch Manager\WButton.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S15B.tmp" /EF "HKCU"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Wuala.lnk = C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Wuala\Roaming\Wuala.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: VPN Client.lnk = ?

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

O23 - Service: WisLMSvc - Wistron Corp. - C:\Programme\Launch Manager\WisLMSvc.exe
 

--

End of file - 7272 bytes

Die Systemwiederherstellung habe ich auch deaktiviert.

Mit dem MBR-TOOL wurde folgende txt.Datei erhalten:

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Beim Ausführen von Blacklight kam das raus:

Code:

10/17/08 18:20:26 [Info]: BlackLight Engine 2.2.1092 initialized

10/17/08 18:20:27 [Info]: OS: 5.1 build 2600 (Service Pack 3)

10/17/08 18:20:27 [Note]: 7019 4

10/17/08 18:20:27 [Note]: 7005 0

10/17/08 18:20:38 [Note]: 7006 0

10/17/08 18:20:38 [Note]: 7011 716

10/17/08 18:20:38 [Note]: 7035 0

10/17/08 18:20:38 [Note]: 7026 0

10/17/08 18:20:38 [Note]: 7026 0

10/17/08 18:20:42 [Note]: FSRAW library version 1.7.1024

10/17/08 18:25:31 [Note]: 2000 1012

10/17/08 18:26:03 [Note]: 7007 0

Malewarebytes Antimaleware:

Code:

Malwarebytes' Anti-Malware 1.29

Datenbank Version: 1278

Windows 5.1.2600 Service Pack 3
 

17.10.2008 20:34:40

mbam-log-2008-10-17 (20-34-40).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 299305

Laufzeit: 1 hour(s), 46 minute(s), 46 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 7

Infizierte Registrierungswerte: 3

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.

Als nächstes die Datei von Silentrunners:

File-Upload.net - Startup-Programs--XXX--2008-10-18-11.25.29.txt

Und zu guter Letzt noch die listing.txt:

File-Upload.net - listing.txt

Falls ComboFix noch nötig ist und ich beim Installieren der Wiederherstellungskonsole mit SP2 nichts am Rechner "kaputt" mache oder Daten verloren gehen, werde ich das Tool noch ausführen!

Hab erstmal vielen Dank und bis später.

Viele Grüße

Friedjoch

Die Wiederherstellungskonsole ist nicht zwingend erfordlich, Du kannst Combofix auch ohne ausführen. Wäre schon gut wenn Du das tätest, denn das Logfile von CF liefert wertvolle Infos.

Ich schau mir Deine anderen Logfile gleich mal genauer an.

Hi root24,

ok, hab ComboFix ausgeführt. Die Logfile ist folgende:

Code:

ComboFix 08-10-19.04 - XXX 2008-10-20 10:53:01.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1560 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Autorun.inf

C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\ocqay.dat

C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\ocqay_nav.dat

C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\ocqay_navps.dat
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-09-20 bis 2008-10-20  ))))))))))))))))))))))))))))))

.
 

2008-10-20 10:42 . 2008-10-20 10:42        <DIR>        d--------        C:\Programme\CCleaner

2008-10-17 18:29 . 2008-10-17 18:29        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-10-17 18:29 . 2008-10-17 18:29        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes

2008-10-17 18:29 . 2008-10-17 18:29        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-10-17 18:29 . 2008-10-16 20:25        38,496        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-17 18:29 . 2008-10-16 20:25        15,504        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-10-17 14:12 . 2008-09-08 12:41        333,824        -----c---        C:\WINDOWS\system32\dllcache\srv.sys

2008-10-16 18:13 . 2008-09-15 17:24        1,846,528        -----c---        C:\WINDOWS\system32\dllcache\win32k.sys

2008-10-16 18:10 . 2008-08-14 15:19        2,191,488        -----c---        C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2008-10-16 18:10 . 2008-08-14 15:19        2,147,840        -----c---        C:\WINDOWS\system32\dllcache\ntkrnlmp.exe

2008-10-16 18:10 . 2008-08-14 15:19        2,068,352        -----c---        C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2008-10-16 18:10 . 2008-08-14 15:19        2,026,496        -----c---        C:\WINDOWS\system32\dllcache\ntkrpamp.exe

2008-09-24 10:48 . 2008-09-24 10:48        <DIR>        d--------        C:\Programme\MSECache
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-20 08:19        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater

2008-10-20 07:51        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Wuala

2008-10-19 12:48        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator

2008-10-19 12:46        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Spyware Terminator

2008-10-17 12:10        ---------        d-----w        C:\Programme\Spyware Terminator

2008-10-14 09:18        ---------        d-----w        C:\Programme\ICQToolbar

2008-10-09 17:13        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\AdobeUM

2008-09-15 15:24        1,846,528        ----a-w        C:\WINDOWS\system32\win32k.sys

2008-09-12 07:13        ---------        d-----w        C:\Programme\ICQ6

2008-09-08 10:41        333,824        ----a-w        C:\WINDOWS\system32\drivers\srv.sys

2008-08-31 08:07        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\vlc

2008-08-31 08:06        ---------        d-----w        C:\Programme\VideoLAN

2008-08-20 05:08        671,744        ----a-w        C:\WINDOWS\system32\wininet.dll

2008-08-14 13:19        2,147,840        ----a-w        C:\WINDOWS\system32\ntoskrnl.exe

2008-08-14 13:19        2,026,496        ----a-w        C:\WINDOWS\system32\ntkrnlpa.exe

2008-02-04 18:33        382,352        ----a-w        C:\Programme\jre-6u3-windows-i586-p-iftw.exe

2007-12-22 15:46        12,873,518        ----a-w        C:\Programme\difga_setup.exe

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

"EPSON Stylus DX5000 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE" [2006-09-22 139264]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-04-20 142104]

"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-04-20 162584]

"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-04-20 138008]

"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2007-04-26 192512]

"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]

"DMS-Kalenderchen"="C:\Programme\Kalenderchen\Kalenderchen.exe" [2005-07-20 1445376]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]

"SpywareTerminator"="C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" [2008-06-16 1817600]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
 

C:\Dokumente und Einstellungen\XXX\Startmen\Programme\Autostart\

Wuala.lnk - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Wuala\Roaming\Wuala.exe [2008-08-14 178534]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 217193]

VPN Client.lnk - C:\WINDOWS\Installer\{871DF2BE-41D2-4334-AC33-839AF16FC8FE}\Icon3E5562ED7.ico [2008-03-26 6144]
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk

backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk

backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk

backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]

--a------ 2006-05-20 12:13 188416 C:\Programme\PowerISO\PWRISOVM.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--a------ 2003-11-30 03:04 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]

-ra------ 2006-11-24 02:06 487424 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2007-12-22 16:57 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

--a------ 2006-10-23 12:00 815104 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"ARCGIS License Manager"=2 (0x2)
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\ICQ6\\ICQ.exe"=

"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=

"C:\\Programme\\Zattoo\\Zattoo1.exe"=

"C:\\Programme\\Zattoo\\zattood.exe"=

"C:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 9867]

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-06-16 141312]

R3 WisLMSvc;WisLMSvc;C:\Programme\Launch Manager\WisLMSvc.exe [2006-11-17 118784]

S3 HPFXBULK;HPFXBULK;C:\WINDOWS\system32\drivers\hpfxbulk.sys [2006-04-04 9344]

S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Ebus.sys [2006-11-10 61600]

S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE2Emdfl.sys [2006-11-10 9360]

S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE2Emdm.sys [2006-11-10 97184]

S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\SE2Emgmt.sys [2006-11-10 88688]

S3 se2End5;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS);C:\WINDOWS\system32\DRIVERS\se2End5.sys [2006-11-10 18704]

S3 SE2Eobex;Sony Ericsson Device 046 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\SE2Eobex.sys [2006-11-10 86560]

S3 se2Eunic;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM);C:\WINDOWS\system32\DRIVERS\se2Eunic.sys [2006-11-10 90800]

S3 Usblink;Usblink Driver;C:\WINDOWS\system32\Drivers\ulink.sys [ ]

S3 VNic;USB Virtual Network Driver;C:\WINDOWS\system32\DRIVERS\VNic.sys [ ]

S4 ARCGIS License Manager;ARCGIS License Manager;C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe [1999-12-01 467968]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]

\Shell\AutoRun\command - J:\startup.exe
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a3fcc7b8-b136-11dc-9ba7-0016d38df288}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe PETER-100568D5F.vbs
 

*Newly Created Service* - PROCEXP90

.

Inhalt des "geplante Tasks" Ordners
 

2008-09-13 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

MSConfigStartUp-ccApp - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

MSConfigStartUp-SDTray - C:\Programme\Spyware Doctor\SDTrayApp.exe

MSConfigStartUp-ZoneAlarm Client - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
 
 

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\5j3zfhmw.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - h**p://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net

Rootkit scan 2008-10-20 10:56:04

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-10-20 10:59:47

ComboFix-quarantined-files.txt  2008-10-20 08:59:44
 

Vor Suchlauf: 25 Verzeichnis(se), 77.030.621.184 Bytes frei

Nach Suchlauf: 25 Verzeichnis(se), 77,021,929,472 Bytes frei
 

159        --- E O F ---        2008-10-17 18:57:54

Nach dem ComboFix fertig war, hab ich nochmal geschaut und kann nun wieder ganz normal auf meine Festplatte zugreifen. Ohne Fehlermeldung. Auch der Internet-Explorer zeigt keine Fehlermeldung mehr.
Hab ich den lästigen Plagegeist los? Oder gibt's noch versteckte Daten usw.?

Ich danke dir erstmal für deine Hilfe.

Bis denn dann.

MfG

Friedjoch

Code:

C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\Wuala

kennst Du diesen Ordner?

Ja, damit sollte alles in Ordnung sein!