Trojaner-Board - Google leitet auf dubiose Seiten weiter

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Google leitet auf dubiose Seiten weiter (https://www.trojaner-board.de/80478-google-leitet-dubiose-seiten.html)

Google leitet auf dubiose Seiten weiter

Hallo,
hab ein kleines Problem und suche jetzt schon seit Tagen relativ erfolglos im Web herum. Wobei die Suche erschwert wird, da ich google nicht richtig nutzen kann, worin auch schon mein Problem liegt. Und zwar, wenn ich bei google etwas suche wird immer bei jedem zweiten Link, den ich anklicke, auf irgendwelche komischen Seiten umgeleitet, die oft Werbung etc enthalten. Danach hängt sich Firefox immer fast auf. Wenn ich google wieder aufrufe und ein neue Suche starte kann ich wieder einen Link problemlos anklicken, beim zweiten werde ich wieder umgeleitet auf eine dubiose Seite.

Hab mir jetzt bereits das Problem hijackthis geladen und dazu folgendes erstellt.

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 20:24:19, on 16.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://windiwsfsearch.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://windiwsfsearch.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://windiwsfsearch.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://windiwsfsearch.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.onlyiesettings.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.onlyiesettings.com/redirect.php (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1233770725203
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O20 - AppInit_DLLs: lugiil.dll fhcfdp.dll tbhmkz.dll vzmhuf.dll qleyju.dll xygyqx.dll smcbpc.dll ophqla.dll
O20 - Winlogon Notify: ssqOEwWo - ssqOEwWo.dll (file missing)
O20 - Winlogon Notify: urqPhEXr - urqPhEXr.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: awash - {e3623691-f85d-48d8-8e4d-abe79077f841} - C:\WINDOWS\System32\bcxjqr.dll (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\VGhvbWFzIEVuZ2VsaGFyZHQ\command.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 8105 bytes

Ich denke private Details sind gelöscht. Die Internetadressen, die noch gezeigt werden kenne ich nicht und lasse sie vorsorglich stehen, falls vielleicht dort ein Problem liegt.
Bin euch jetzt für jeden Tipp dankbar, auch wenn ihr etwas findet, was nicht mit meinen Problem zusammenhängt und vielleicht trotzdem geändert werden sollte.

Zusätzlich kann ich noch folgendes sagen, da ich gerade versuche die vom Forum vorgeschlagenen Programme durchzuführen:
Bei dem CCleaner kommt folgender Fehler immer wieder, habe jetzt schon 5x probiert diesen zu entfernen, aber er taucht jedes Mal wieder auf, vielleicht hilft das noch bei der Problemerkennung:
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Vielen Vielen Dank an alle Helfer.
Gruß
engeltom

Hallo und :hallo:

Zitat:

aber er taucht jedes Mal wieder auf, vielleicht hilft das noch bei der Problemerkennung:
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Das geht i.O. denn der Eintrag ist von AntiVir! Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo cosinus,

vielen Dank erstmal für die Hilfe. Hab es schon gestern mehrmals probiert und heute auch wieder. Der CCleaner hat wunderbar funktioniert, aber MalwareBytes scannt zwar gut (fndet 107 Fehler bei mir), sobald ich diese aber entfernen will stürzt das Programm mitten unter der Entfernung ab. Weiß jemand, woran das liegen könnte?

Dankeschön für die Unterstützung

Gruß
engeltom

ps. Heute funktioniert google zumindest wieder normal und leitet mich auf keinerlei Werbe- oder gar Pornoseiten um, will aber trotzdem mal das hier alles durcharbeiten nicht, nur um sicher zu gehen.

Dann mach erstmal nur die Logs mit RSIT und dann sehen wir weiter

Hallo cosinus,

so hoffe ich hab jetzt alles passend durchgeführt.
Hab den CCleaner nochmals durchlaufen lassen
Wie gesagt Malewarbytes stürzt beim löschen ab.
Und von RSIT hab ich die beiden Logfiles info und log in einer Datei zusammengefasst (oberer Teil = info, unterer Teil= log) und hier hochgeladen

http://www.file-upload.net/download-...--log.txt.html
Persönlicher Name getilgt (***) und Internetadresse von www zu w*w gemacht, damit sie inaktiv sind.

Hoffe das passt so und schonmal vielen Dank.
Gruß
engeltom

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Zitat:

registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLS
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler |{e3623691-f85d-48d8-8e4d-abe79077f841}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {1702984E-7F76-458B-A33A-A7B32A0DCC72}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {9E91EF7B-6846-45C3-A8AB-67CF7C900783}

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqOEwWo
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\urqPhEXr

files to delete:
C:\WINDOWS\tasks\blrgsiwf.job
C:\WINDOWS\tasks\B2A200C594A5BB4D.job
C:\WINDOWS\TEMP\F2.tmp
C:\WINDOWS\System32\lugiil.dll
C:\WINDOWS\System32\fhcfdp.dll
C:\WINDOWS\System32\tbhmkz.dll
C:\WINDOWS\System32\vzmhuf.dll
C:\WINDOWS\System32\qleyju.dll
C:\WINDOWS\System32\xygyqx.dll
C:\WINDOWS\System32\smcbpc.dll
C:\WINDOWS\System32\ophqla.dll
C:\WINDOWS\System32\ssqOEwWo.dll
C:\WINDOWS\System32\urqPhEXr.dll

folders to delete:
C:\WINDOWS\VGhvbWFzIEVuZ2VsaGFyZHQ
C:\WINDOWS\System32\vtUkJBRk

drivers to delete:
{DEF85C80-216A-43ab-AF70-1665EDBE2780}
ensqio
cmdService

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

Hallo cosinus,

schon mal vielen Dank.
Hab alles nach deiner tollen Anleitung durchgeführt. Zur Info, als der Computer neu gebootet hat, ist er zunächst, als er fast schon hochgefahren war, wieder ausgegangen und hat nochmal gebootet, dann musste ich meine Windowsversion nochmals aktivieren. Nur falls das von Interesse ist.

Hier erstmal die Logfile die nach dem Neustart erschien:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\tasks\blrgsiwf.job" deleted successfully.
File "C:\WINDOWS\tasks\B2A200C594A5BB4D.job" deleted successfully.

Error: file "C:\WINDOWS\TEMP\F2.tmp" not found!
Deletion of file "C:\WINDOWS\TEMP\F2.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\System32\lugiil.dll" not found!
Deletion of file "C:\WINDOWS\System32\lugiil.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\System32\fhcfdp.dll" not found!
Deletion of file "C:\WINDOWS\System32\fhcfdp.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\System32\tbhmkz.dll" not found!
Deletion of file "C:\WINDOWS\System32\tbhmkz.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\System32\vzmhuf.dll" not found!
Deletion of file "C:\WINDOWS\System32\vzmhuf.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\System32\qleyju.dll" not found!
Deletion of file "C:\WINDOWS\System32\qleyju.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\System32\xygyqx.dll" not found!
Deletion of file "C:\WINDOWS\System32\xygyqx.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\System32\smcbpc.dll" not found!
Deletion of file "C:\WINDOWS\System32\smcbpc.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\System32\ophqla.dll" not found!
Deletion of file "C:\WINDOWS\System32\ophqla.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\System32\ssqOEwWo.dll" not found!
Deletion of file "C:\WINDOWS\System32\ssqOEwWo.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\System32\urqPhEXr.dll" not found!
Deletion of file "C:\WINDOWS\System32\urqPhEXr.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\WINDOWS\VGhvbWFzIEVuZ2VsaGFyZHQ" deleted successfully.

Error: folder "C:\WINDOWS\System32\vtUkJBRk" not found!
Deletion of folder "C:\WINDOWS\System32\vtUkJBRk" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "{DEF85C80-216A-43ab-AF70-1665EDBE2780}" deleted successfully.
Driver "ensqio" deleted successfully.
Driver "cmdService" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLS" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler|{e3623691-f85d-48d8-8e4d-abe79077f841}" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks|{1702984E-7F76-458B-A33A-A7B32A0DCC72}" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks|{9E91EF7B-6846-45C3-A8AB-67CF7C900783}" deleted successfully.
Registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqOEwWo" deleted successfully.
Registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\urqPhEXr" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Und hier noch die Datei c:\avenger\backup.zip:

http://www.file-upload.net/download-...ackup.zip.html

Ich hoffe, dass ich alles richtig gemacht habe.

Danke nochmal
Gruß
engeltom

Noch ein Hinweis, da ich es gerade beim Lesen des Forums gefunden habe.

Google sah bei mir genauso aus, wie hier bei Alisamix
http://www.trojaner-board.de/80457-pc-langsamer-und-google-leitet-auf-diverse-unserioese-seiten-weiter.html

Mittlerweile ist es wie gesagt wieder weg.
Vielleicht hilft das noch weiter.

Sehr schön, ich hoffe ich konnte mit dem Script genug löschen. Versuch bitte einen neuen Durchlauf mit Malwarebytes und aktuellen Signaturen. Beobachte, ob der Absturz wieder auftritt, wenn Du was löschen willst.

Hi cosinus,

das Programm Malewarbytes bricht immer noch ab. Und zwar immer, wenn es die Anwendungsdatei/Gool löschen will. Falls das etwas hilft.

Gruß
engeltom

Dann mach mal bitte zuerst einen Durchlauf mit GMER und danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo cosinus,

hab alles ausgeführt hier die erste Logfile.

OTL logfile created on: 18.12.2009 18:15:22 - Run 1
OTL by OldTimer - Version 3.1.18.0 Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

511,48 Mb Total Physical Memory | 21,40 Mb Available Physical Memory | 4,18% Memory free
2,42 Gb Paging File | 1,92 Gb Available in Paging File | 79,20% Paging File free
Paging file location(s): C:\pagefile.sys 2000 4096 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 54,41 Gb Total Space | 20,28 Gb Free Space | 37,27% Space Free | Partition Type: FAT32
Drive D: | 54,85 Gb Total Space | 43,79 Gb Free Space | 79,83% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ***
Current User Name: ***
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Java\jre6\bin\jqs.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
PRC - C:\Programme\Spyware Terminator\SpywareTerminatorShield.Exe (Crawler.com)
PRC - C:\Programme\Spyware Terminator\sp_rsser.exe (Crawler.com)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
PRC - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
PRC - C:\WINDOWS\htpatch.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe (Microsoft® Corporation)
PRC - C:\WINDOWS\wanmpsvc.exe (America Online, Inc.)

========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)

========== Win32 Services (SafeList) ==========

SRV - (Network Monitor) -- File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (JavaQuickStarterService) -- C:\Programme\Java\jre6\bin\jqs.exe (Sun Microsystems, Inc.)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (sp_rssrv) -- C:\Programme\Spyware Terminator\sp_rsser.exe (Crawler.com)
SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (NBService) -- C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe (Nero AG)
SRV - (LightScribeService) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (TermService) -- C:\WINDOWS\system32\termsrv32.dll (Microsoft Corporation)
SRV - (NVSvc) -- C:\WINDOWS\system32\nvsvc32.exe (NVIDIA Corporation)
SRV - (WANMiniportService) WAN Miniport (ATW) -- C:\WINDOWS\wanmpsvc.exe (America Online, Inc.)

========== Driver Services (SafeList) ==========

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (MxlW2k) -- C:\WINDOWS\system32\drivers\MxlW2k.sys (MusicMatch, Inc.)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (sp_rsdrv2) -- C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ()
DRV - (FileObjInfo) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator\fileobjinfo.sys (Microsoft Corporation)
DRV - (PxHelp20) -- C:\WINDOWS\System32\Drivers\PxHelp20.sys (Sonic Solutions)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (Secdrv) -- C:\WINDOWS\system32\drivers\secdrv.sys (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.)
DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (avmeject) -- C:\WINDOWS\system32\drivers\avmeject.sys (AVM Berlin)
DRV - (w800mdm) -- C:\WINDOWS\system32\drivers\w800mdm.sys (MCCI)
DRV - (w800mdfl) -- C:\WINDOWS\system32\drivers\w800mdfl.sys (MCCI)
DRV - (w800bus) Sony Ericsson W800 driver (WDM) -- C:\WINDOWS\system32\drivers\w800bus.sys (MCCI)
DRV - (SISNIC) -- C:\WINDOWS\system32\drivers\sisnic.sys (SiS Corporation)
DRV - (LHidUsbK) -- C:\WINDOWS\system32\drivers\LHidUsbK.sys (Logitech, Inc.)
DRV - (L8042mou) -- C:\WINDOWS\system32\drivers\L8042mou.Sys (Logitech, Inc.)
DRV - (LMouKE) -- C:\WINDOWS\system32\drivers\LMouKE.Sys (Logitech, Inc.)
DRV - (LHidKe) -- C:\WINDOWS\system32\drivers\LHidKE.Sys (Logitech, Inc.)
DRV - (hardlock) -- C:\WINDOWS\system32\drivers\hardlock.sys (Aladdin Knowledge Systems)
DRV - (ASCTRM) -- C:\WINDOWS\system32\drivers\asctrm.sys (Windows (R) 2000 DDK provider)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (sisagp) -- C:\WINDOWS\System32\DRIVERS\SISAGPX.sys (Silicon Integrated Systems Corporation)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (Ptilink) -- C:\WINDOWS\system32\drivers\ptilink.sys (Parallel Technologies, Inc.)
DRV - (Intels51) -- C:\WINDOWS\system32\drivers\ctxs51.sys (Intel Corporation)
DRV - (cmpci) TerraTec Aureon 5.1 (WDM) -- C:\WINDOWS\system32\drivers\cmaudio.sys (C-Media Inc)
DRV - (IPFilter) -- C:\WINDOWS\system32\drivers\ipfilter.sys (Microsoft Corporation)
DRV - (wanatw) WAN Miniport (ATW) -- C:\WINDOWS\system32\drivers\wanatw4.sys (America Online, Inc.)
DRV - (ms_mpu401) -- C:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation)
DRV - (SONYPVU1) Sony USB-Filtertreiber (SONYPVU1) -- C:\WINDOWS\system32\drivers\SONYPVU1.SYS (Sony Corporation)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Search
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://windiwsfsearch.com/search?q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Local Page = http://www2.iesearch.com/
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://windiwsfsearch.com
IE - HKLM\Software\Microsoft\Internet Explorer\SearchURL\w, = http://windiwsfsearch.com/search?q=%s

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Search
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://windiwsfsearch.com/search?q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://windiwsfsearch.com
IE - HKCU\Software\Microsoft\Internet Explorer\SearchURL\w, = http://windiwsfsearch.com/search?q=%s
IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = localhost

========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.startup.homepage: "http://start.icq.com/"
FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.6\extensions\\Components: C:\Programme\Mozilla Firefox\components [2008.09.26 17:27:18 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.6\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2008.09.26 17:27:18 | 00,000,000 | ---D | M]

[2008.09.26 17:27:32 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2008.09.26 17:27:32 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\tmmcbt23.default\extensions
[2009.04.14 17:25:14 | 00,000,000 | ---D | M] (Image Zoom) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\tmmcbt23.default\extensions\{1A2D0EC4-75F5-4c91-89C4-3656F6E44B68}
[2009.09.30 09:58:24 | 00,000,000 | ---D | M] (Firefox Companion for eBay) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\tmmcbt23.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}
[2009.01.16 13:55:54 | 00,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\tmmcbt23.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2009.03.28 15:50:16 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\tmmcbt23.default\extensions\moveplayer@movenetworks.com
[2008.10.25 14:36:22 | 00,000,274 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\tmmcbt23.default\searchplugins\search.xml
[2009.12.13 17:03:20 | 00,000,962 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\tmmcbt23.default\searchplugins\icqplugin.xml
[2008.09.26 17:27:18 | 00,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2008.09.26 17:27:18 | 00,000,000 | ---D | M] (Firefox Companion for eBay) -- C:\Programme\Mozilla Firefox\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}
[2009.10.12 19:44:14 | 00,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2008.10.25 14:36:58 | 00,000,354 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\search.xml
[2009.08.22 09:15:54 | 00,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.08.22 09:15:54 | 00,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.08.22 09:15:54 | 00,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.08.22 09:15:54 | 00,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
[2009.09.15 21:11:50 | 00,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml

O1 HOSTS File: (0 bytes) - C:\WINDOWS\system32\drivers\etc\hosts
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll File not found
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (&Crawler Toolbar) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll (Crawler.com)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {144A6B24-0EBC-4D89-BF09-A06A718E57B5} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (&Crawler Toolbar) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll (Crawler.com)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [HTpatch] C:\WINDOWS\htpatch.exe ()
O4 - HKLM..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe (Microsoft® Corporation)
O4 - HKLM..\Run: [SpywareTerminator] C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe (Crawler.com)
O4 - HKCU..\Run: [ICQ] C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - File not found
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe File not found
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe File not found
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O15 - HKCU\..Trusted Domains: ([]msn in My Computer)
O15 - HKCU\..Trusted Domains: 3 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} http://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://www.update.microsoft.com/wind...?1233770725203 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get.../ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\tbr {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll (Crawler.com)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O30 - LSA: Authentication Packages - (C:\WINDOWS\System32\vtUkJBRk) - File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2003.01.09 10:13:58 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2009.12.17 19:59:21 | 00,000,000 | ---D | C] -- C:\Avenger
[2009.12.17 14:10:17 | 00,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Thomas Engelhardt\Recent
[2009.12.17 14:06:34 | 00,000,000 | ---D | C] -- C:\Programme\trend micro
[2009.12.17 14:06:32 | 00,000,000 | ---D | C] -- C:\rsit
[2009.12.16 21:29:11 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas Engelhardt\Anwendungsdaten\Malwarebytes
[2009.12.16 21:28:54 | 00,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2009.12.16 21:28:42 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2009.12.16 21:28:38 | 00,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2009.12.16 21:28:38 | 00,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2009.12.16 21:02:00 | 00,000,000 | ---D | C] -- C:\Programme\CCleaner
[2009.12.16 20:22:01 | 00,000,000 | ---D | C] -- C:\Programme\TrendMicro
[2009.12.15 22:19:18 | 00,014,848 | ---- | C] (Advanced System Products, Inc.) -- C:\WINDOWS\System32\dllcache\asc3550.sys
[2009.12.15 22:19:17 | 00,026,496 | ---- | C] (Advanced System Products, Inc.) -- C:\WINDOWS\System32\dllcache\asc.sys
[2009.12.15 22:19:17 | 00,022,400 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\asc3350p.sys
[2009.12.15 22:18:25 | 00,006,272 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\apmbatt.sys
[2009.12.15 22:18:24 | 00,036,224 | ---- | C] (ADMtek Incorporated.) -- C:\WINDOWS\System32\dllcache\an983.sys
[2009.12.15 22:18:23 | 00,012,032 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\amsint.sys
[2009.12.15 22:18:22 | 00,016,969 | ---- | C] (AmbiCom, Inc.) -- C:\WINDOWS\System32\dllcache\amb8002.sys
[2009.12.15 22:18:22 | 00,005,248 | ---- | C] (Acer Laboratories Inc.) -- C:\WINDOWS\System32\dllcache\aliide.sys
[2009.12.15 22:18:21 | 00,027,678 | ---- | C] (Acer Laboratories Inc.) -- C:\WINDOWS\System32\dllcache\ali5261.sys
[2009.12.15 22:18:21 | 00,026,624 | ---- | C] (Acer Laboratories Inc.) -- C:\WINDOWS\System32\dllcache\alifir.sys
[2009.12.15 22:18:20 | 00,056,960 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aic78xx.sys
[2009.12.15 22:18:19 | 00,055,168 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aic78u2.sys
[2009.12.15 22:18:19 | 00,012,800 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aha154x.sys
[2009.12.15 22:18:13 | 00,024,576 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\agcgauge.ax
[2009.12.15 22:15:20 | 00,101,888 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\adpu160m.sys
[2009.12.15 22:15:20 | 00,046,112 | ---- | C] (Adaptec, Inc ) -- C:\WINDOWS\System32\dllcache\adptsf50.sys
[2009.12.15 22:15:19 | 00,010,880 | ---- | C] (Aureal, Inc.) -- C:\WINDOWS\System32\dllcache\admjoy.sys
[2009.12.15 22:15:18 | 00,747,392 | ---- | C] (Aureal, Inc.) -- C:\WINDOWS\System32\dllcache\adm8830.sys
[2009.12.15 22:15:18 | 00,553,984 | ---- | C] (Aureal, Inc.) -- C:\WINDOWS\System32\dllcache\adm8820.sys
[2009.12.15 22:15:17 | 00,584,448 | ---- | C] (Aureal, Inc.) -- C:\WINDOWS\System32\dllcache\adm8810.sys
[2009.12.15 22:15:17 | 00,020,160 | ---- | C] (ADMtek Incorporated) -- C:\WINDOWS\System32\dllcache\adm8511.sys
[2009.12.15 22:15:16 | 00,007,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\adicvls.sys
[2009.12.15 22:15:12 | 00,061,952 | ---- | C] (Farb-Flachbett-Scanner) -- C:\WINDOWS\System32\dllcache\acerscad.dll
[2009.12.15 22:15:11 | 00,297,728 | ---- | C] (Silicon Integrated Systems Corp.) -- C:\WINDOWS\System32\dllcache\ac97sis.sys
[2009.12.15 22:15:11 | 00,084,480 | ---- | C] (VIA Technologies, Inc.) -- C:\WINDOWS\System32\dllcache\ac97via.sys
[2009.12.15 22:15:10 | 00,231,552 | ---- | C] (Acer Laboratories Inc.) -- C:\WINDOWS\System32\dllcache\ac97ali.sys
[2009.12.15 22:15:10 | 00,096,256 | ---- | C] (Intel Corporation) -- C:\WINDOWS\System32\dllcache\ac97intc.sys
[2009.12.15 22:15:10 | 00,023,552 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\abp480n5.sys
[2009.12.15 22:15:09 | 00,462,848 | ---- | C] (Aureal Inc.) -- C:\WINDOWS\System32\dllcache\a3dapi.dll
[2009.12.15 22:15:07 | 00,038,400 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\8514a.dll
[2009.12.15 22:15:06 | 00,048,128 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\61883.sys
[2009.12.15 22:15:05 | 00,148,352 | ---- | C] (3dfx Interactive, Inc.) -- C:\WINDOWS\System32\dllcache\3dfxvsm.sys
[2009.12.15 22:15:05 | 00,012,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\4mmdat.sys
[2009.12.15 22:15:04 | 00,762,780 | ---- | C] (3Com, Inc.) -- C:\WINDOWS\System32\dllcache\3cwmcru.sys
[2009.12.15 22:15:04 | 00,689,216 | ---- | C] (3dfx Interactive, Inc.) -- C:\WINDOWS\System32\dllcache\3dfxvs.dll
[2009.12.15 22:15:03 | 00,011,264 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\1394vdbg.sys
[2009.12.15 22:14:43 | 00,066,048 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\s3legacy.dll
[2009.12.15 21:58:40 | 00,000,000 | ---D | C] -- C:\WINDOWS\pss
[2009.12.15 21:47:39 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2009.12.15 21:47:22 | 00,000,000 | ---D | C] -- C:\Programme\Security Task Manager
[2009.12.15 21:45:13 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Uniblue
[2009.11.19 08:11:35 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Neuer Ordner
[2009.05.15 20:21:16 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2008.10.05 10:33:52 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
[2003.01.09 10:16:36 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2003.01.09 10:16:36 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2003.01.09 10:06:56 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2003.01.09 10:06:56 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2009.12.18 18:09:38 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2009.12.18 18:09:36 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2009.12.18 18:09:34 | 53,639,9872 | -HS- | M] () -- C:\hiberfil.sys
[2009.12.18 18:04:08 | 00,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini
[2009.12.18 18:04:06 | 04,980,736 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT
[2009.12.18 17:54:24 | 00,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\jblkh2my.exe
[2009.12.18 06:52:04 | 00,022,528 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Aus diesen Gründen befahl Caesar.doc
[2009.12.17 23:30:54 | 00,035,328 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Nämlich.doc
[2009.12.17 20:01:04 | 00,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2009.12.17 20:01:04 | 00,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.bak
[2009.12.17 14:54:50 | 00,025,600 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\M*.doc
[2009.12.17 14:11:02 | 00,001,030 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091217_141056.reg
[2009.12.16 21:20:42 | 00,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_212039.reg
[2009.12.16 21:20:20 | 00,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_212016.reg
[2009.12.16 21:19:24 | 00,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_211921.reg
[2009.12.16 21:19:02 | 00,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_211859.reg
[2009.12.16 21:18:42 | 00,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_211838.reg
[2009.12.16 21:18:04 | 00,000,860 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_211801.reg
[2009.12.16 21:16:12 | 00,000,492 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_211607.reg
[2009.12.16 21:15:38 | 00,004,468 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_211530.reg
[2009.12.16 21:13:36 | 00,602,620 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_211243.reg
[2009.12.16 20:22:06 | 00,002,006 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.lnk
[2009.12.15 23:12:10 | 00,000,211 | -HS- | M] () -- C:\boot.ini
[2009.12.15 22:54:46 | 00,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2009.12.15 22:00:30 | 00,000,865 | ---- | M] () -- C:\WINDOWS\win.ini
[2009.12.15 22:00:30 | 00,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2009.12.15 20:36:44 | 00,262,144 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cicero.doc
[2009.12.10 07:44:10 | 01,075,190 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2009.12.10 07:44:10 | 00,460,658 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2009.12.10 07:44:10 | 00,442,558 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2009.12.10 07:44:10 | 00,085,214 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2009.12.10 07:44:10 | 00,071,900 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2009.12.08 19:55:08 | 00,000,452 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\spider.sav
[2009.12.08 07:45:42 | 00,056,816 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2009.12.06 16:54:12 | 00,026,112 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Caesat.doc
[2009.12.03 16:14:06 | 00,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2009.12.03 16:13:56 | 00,019,160 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2009.12.01 08:57:04 | 00,028,160 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\perfkte übersetzung cicero.doc
[2009.11.29 18:21:20 | 00,035,328 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Was Sie in diesem Abschnitt gelernt haben sollten.doc
[2009.11.22 18:56:50 | 00,816,034 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\induktion-aufgaben-loesungen.pdf
[2009.11.19 08:19:46 | 00,012,288 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files Created - No Company Name ==========

[2009.12.18 17:54:26 | 00,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\jblkh2my.exe
[2009.12.17 14:54:48 | 00,025,600 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Markus.doc
[2009.12.17 14:10:57 | 00,001,030 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091217_141056.reg
[2009.12.16 21:20:40 | 00,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_212039.reg
[2009.12.16 21:20:17 | 00,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_212016.reg
[2009.12.16 21:19:23 | 00,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_211921.reg
[2009.12.16 21:19:00 | 00,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_211859.reg
[2009.12.16 21:18:39 | 00,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_211838.reg
[2009.12.16 21:18:02 | 00,000,860 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_211801.reg
[2009.12.16 21:16:09 | 00,000,492 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_211607.reg
[2009.12.16 21:15:33 | 00,004,468 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_211530.reg
[2009.12.16 21:12:52 | 00,602,620 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20091216_211243.reg
[2009.12.16 20:22:04 | 00,002,006 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.lnk
[2009.12.14 00:00:49 | 00,022,528 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Aus diesen Gründen befahl Caesar.doc
[2009.12.08 22:13:18 | 02,031,275 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\DSC00653.JPG
[2009.12.08 21:31:07 | 01,999,763 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\DSC00652.JPG
[2009.12.06 16:54:09 | 00,026,112 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Caesat.doc
[2009.12.05 00:02:37 | 00,035,328 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Nämlich.doc
[2009.11.29 23:53:53 | 00,028,160 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\perfkte übersetzung cicero.doc
[2009.11.29 18:21:18 | 00,035,328 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Was Sie in diesem Abschnitt gelernt haben sollten.doc
[2009.11.22 18:56:48 | 00,816,034 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\induktion-aufgaben-loesungen.pdf
[2009.10.02 10:20:48 | 00,000,252 | ---- | C] () -- C:\WINDOWS\_delis43.ini
[2009.04.24 18:10:04 | 00,310,021 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\kaiwk_nav.dat
[2009.04.24 18:10:04 | 00,003,091 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\kaiwk.dat
[2009.04.24 18:10:04 | 00,000,640 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\kaiwk_navps.dat
[2009.04.11 20:05:55 | 00,019,968 | ---- | C] () -- C:\WINDOWS\System32\cpuinf32.dll
[2009.04.11 20:05:54 | 00,152,064 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2009.04.11 20:05:52 | 00,761,856 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009.02.04 21:03:06 | 00,000,118 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2008.10.26 20:48:58 | 01,450,237 | -HS- | C] () -- C:\WINDOWS\System32\odygflfn.ini
[2008.10.24 21:36:11 | 01,450,237 | -HS- | C] () -- C:\WINDOWS\System32\iuekdxtb.ini
[2008.10.23 21:49:14 | 01,428,181 | -HS- | C] () -- C:\WINDOWS\System32\rkofcmrm.ini
[2008.10.20 21:32:04 | 01,381,185 | -HS- | C] () -- C:\WINDOWS\System32\motoymrh.ini
[2008.10.20 18:25:04 | 01,381,194 | -HS- | C] () -- C:\WINDOWS\System32\nljvjwek.ini
[2008.10.17 22:11:14 | 01,387,239 | -HS- | C] () -- C:\WINDOWS\System32\foyiydtl.ini
[2008.10.16 21:26:15 | 01,393,797 | -HS- | C] () -- C:\WINDOWS\System32\ycswmtig.ini
[2008.10.16 20:50:25 | 01,393,797 | -HS- | C] () -- C:\WINDOWS\System32\qlbkddpi.ini
[2008.10.15 20:46:14 | 01,390,296 | -HS- | C] () -- C:\WINDOWS\System32\golhbdng.ini
[2008.10.14 20:42:10 | 01,380,785 | -HS- | C] () -- C:\WINDOWS\System32\gegmqdhr.ini
[2008.10.13 20:44:25 | 01,123,980 | -HS- | C] () -- C:\WINDOWS\System32\kxqnhjwc.ini
[2008.10.13 19:31:04 | 01,123,953 | -HS- | C] () -- C:\WINDOWS\System32\tqhirske.ini
[2008.10.12 19:26:14 | 01,120,185 | -HS- | C] () -- C:\WINDOWS\System32\piaicagw.ini
[2008.10.11 19:20:42 | 01,120,185 | -HS- | C] () -- C:\WINDOWS\System32\opygwrql.ini
[2008.10.10 19:06:29 | 01,148,450 | -HS- | C] () -- C:\WINDOWS\System32\gagjeftj.ini
[2008.10.09 16:39:58 | 01,148,432 | -HS- | C] () -- C:\WINDOWS\System32\kjjisqto.ini
[2008.10.08 18:50:40 | 00,141,312 | ---- | C] () -- C:\WINDOWS\System32\drivers\sp_rsdrv2.sys
[2008.10.08 16:44:01 | 01,118,101 | -HS- | C] () -- C:\WINDOWS\System32\lbrwmqpm.ini
[2008.10.07 16:38:56 | 01,118,092 | -HS- | C] () -- C:\WINDOWS\System32\tilnhxcj.ini
[2008.10.06 16:33:48 | 01,099,835 | -HS- | C] () -- C:\WINDOWS\System32\ewfoblkl.ini
[2008.10.05 12:41:39 | 01,056,937 | -HS- | C] () -- C:\WINDOWS\System32\ohoyrljo.ini
[2008.10.05 12:41:20 | 00,000,022 | ---- | C] () -- C:\WINDOWS\pskt.ini
[2008.10.05 10:39:37 | 01,056,955 | -HS- | C] () -- C:\WINDOWS\System32\psyjqjgm.ini
[2008.10.05 10:38:45 | 00,513,645 | -HS- | C] () -- C:\WINDOWS\System32\kRBJkUtv.ini
[2008.10.05 10:38:45 | 00,513,594 | -HS- | C] () -- C:\WINDOWS\System32\kRBJkUtv.ini2
[2007.05.12 13:40:50 | 00,001,089 | ---- | C] () -- C:\WINDOWS\disney.ini
[2007.05.12 13:40:45 | 00,000,184 | ---- | C] () -- C:\WINDOWS\disneysy.ini
[2007.01.06 09:42:52 | 00,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2006.11.02 21:53:03 | 00,000,000 | ---- | C] () -- C:\WINDOWS\odbcddp.ini
[2006.03.24 16:06:05 | 00,001,131 | ---- | C] () -- C:\WINDOWS\lernkartei.ini
[2005.08.28 19:18:27 | 00,000,000 | ---- | C] () -- C:\WINDOWS\mngui.INI
[2005.08.28 16:11:59 | 00,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2005.08.28 16:08:00 | 00,000,024 | ---- | C] () -- C:\WINDOWS\magix.ini
[2005.08.28 16:07:59 | 00,001,208 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2005.07.25 11:23:56 | 00,002,368 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2005.05.26 09:27:12 | 00,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI
[2005.04.03 19:18:26 | 00,000,237 | ---- | C] () -- C:\WINDOWS\RomeTW.ini
[2005.03.28 15:42:09 | 00,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2005.03.11 20:39:34 | 00,000,282 | ---- | C] () -- C:\WINDOWS\SBWIN.INI
[2005.03.11 20:39:31 | 00,024,992 | ---- | C] () -- C:\WINDOWS\CTRES.DLL
[2004.02.08 13:20:58 | 00,021,840 | ---- | C] () -- C:\WINDOWS\System32\SIntfNT.dll
[2004.02.08 13:20:58 | 00,017,212 | ---- | C] () -- C:\WINDOWS\System32\SIntf32.dll
[2004.02.08 13:20:58 | 00,012,067 | ---- | C] () -- C:\WINDOWS\System32\SIntf16.dll
[2004.01.27 20:22:15 | 00,000,605 | ---- | C] () -- C:\WINDOWS\tlknw2.ini
[2003.06.06 16:09:20 | 00,002,147 | ---- | C] () -- C:\WINDOWS\ACROREAD.INI
[2003.04.13 11:10:17 | 00,000,095 | ---- | C] () -- C:\WINDOWS\ClonyCDs.ini
[2003.03.28 13:39:07 | 00,000,022 | ---- | C] () -- C:\WINDOWS\WET.INI
[2003.03.26 17:28:10 | 00,000,067 | ---- | C] () -- C:\WINDOWS\a1b2c3.INI
[2003.03.16 10:03:17 | 00,012,288 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2003.03.15 20:26:18 | 00,000,016 | ---- | C] () -- C:\WINDOWS\furry.ini
[2003.03.07 15:30:32 | 00,000,604 | ---- | C] () -- C:\WINDOWS\Sof2.INI
[2003.03.04 15:33:23 | 00,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll
[2003.03.04 15:33:23 | 00,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll
[2003.02.04 18:38:57 | 00,000,056 | ---- | C] () -- C:\WINDOWS\CoverDes.INI
[2003.02.04 17:11:06 | 00,006,067 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.INI
[2003.01.20 17:19:01 | 00,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2003.01.15 16:41:55 | 00,001,137 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2003.01.15 11:56:26 | 00,003,072 | R--- | C] () -- C:\WINDOWS\winio.sys
[2002.11.21 11:01:34 | 00,000,400 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2002.04.11 19:47:52 | 00,049,152 | ---- | C] () -- C:\WINDOWS\System32\msmscoin.dll
[1998.03.22 13:50:02 | 00,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll
< End of report >

und hier die zweite:

OTL Extras logfile created on: 18.12.2009 18:15:22 - Run 1
OTL by OldTimer - Version 3.1.18.0 Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

511,48 Mb Total Physical Memory | 21,40 Mb Available Physical Memory | 4,18% Memory free
2,42 Gb Paging File | 1,92 Gb Available in Paging File | 79,20% Paging File free
Paging file location(s): C:\pagefile.sys 2000 4096 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 54,41 Gb Total Space | 20,28 Gb Free Space | 37,27% Space Free | Partition Type: FAT32
Drive D: | 54,85 Gb Total Space | 43,79 Gb Free Space | 79,83% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ***
Current User Name: ***
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- C:\Programme\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
https [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Programme\Internet Explorer\iexplore.exe" (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop
"65533:TCP" = 65533:TCP:*:Enabled:Services
"52344:TCP" = 52344:TCP:*:Enabled:Services
"8112:TCP" = 8112:TCP:*:Enabled:Services
"8127:TCP" = 8127:TCP:*:Enabled:Services

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop
"19897:TCP" = 19897:TCP:*:Enabled:BitComet 19897 TCP
"19897:UDP" = 19897:UDP:*:Enabled:BitComet 19897 UDP
"65533:TCP" = 65533:TCP:*:Enabled:Services
"52344:TCP" = 52344:TCP:*:Enabled:Services
"8127:TCP" = 8127:TCP:*:Enabled:Services
"8112:TCP" = 8112:TCP:*:Enabled:Services

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ACE Mega CoDecS Pack\Media Player Classic\mplayerc.exe" = C:\Programme\ACE Mega CoDecS Pack\Media Player Classic\mplayerc.exe:*:Disabled:Media Player Classic -- (Gabest)
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Disabled:VLC media player -- ()
"C:\Programme\ACE Mega CoDecS Pack\UtilitieS\WMDiag.exe" = C:\Programme\ACE Mega CoDecS Pack\UtilitieS\WMDiag.exe:*:Disabled:Windows Media Diagnostic Tool -- (Microsoft Corporation)
"C:\Programme\Real\RealPlayer\REALPLAY.EXE" = C:\Programme\Real\RealPlayer\REALPLAY.EXE:*:Disabled:RealPlayer -- (RealNetworks, Inc.)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager -- File not found
"C:\Programme\BitComet\BitComet.exe" = C:\Programme\BitComet\BitComet.exe:*:Enabled:BitComet.exe -- File not found

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{03440014-3975-4267-9F39-1DC4745090B7}" = Microsoft Encarta Enzyklopädie 2003
"{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}" = HiJackThis
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{17A87ED9-129A-4516-A3BF-5E513D23C3BB}" = Aureon 5.1 Fun ControlPanel
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1FD0C5C1-B01B-4B4C-9607-E5D3B3D1318F}" = Microsoft IntelliPoint 4.1
"{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}" = QuickTime
"{21E90952-11F1-4473-9D6C-2EE09BCB10C3}" = OpenOffice.org 2.0
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java(TM) 6 Update 15
"{2792F12C-3515-4D69-8083-B557AF35F06F}" = LightScribe 1.4.89.1
"{2E8EAC71-BFE4-417A-88F0-5A1BDFBCF5D3}" = Logitech SetPoint
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{369B36BE-3D64-4641-9AEA-808D436FE132}" = Microsoft Picture It! Foto 7.0
"{3877C2CD-F137-4144-BDB2-0A811492F920}" = Command
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{430E300F-A8DF-4972-AEA0-472DE7DCDB82}" = Sven 2 XL
"{44BDF2E1-A138-4AFB-A3BC-C5A2EAAE22F3}" = MultiLingua Intensiv
"{45EBDA59-D33B-433A-956E-B2F236468B56}" = MUSICMATCH® Jukebox
"{46A2A2CC-2EDE-11D7-AAED-001060294115}" = Service Station
"{544057C9-3309-4205-8545-E15E00C9351C}" = GameShadow
"{5BDAA2F7-8E48-4AFF-AA92-B559D0CDF1AD}" = Serious Sam: The Second Encounter
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{782F20EF-AEB4-4062-9614-750FE8FD2542}" = Vokabeltrainer-Update 3.0.32
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7CDBE27D-87EC-434E-AFE4-D0116AE876BB}" = Microsoft Works Suite-Add-Ins für Microsoft Word
"{818FB39B-1A57-4F1B-A54D-391C33D6C586}" = Tropico
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{900B1197-53F5-4F46-A882-2CFFFE2EEDCB}" = Logitech Desktop Messenger
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_PROR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_PROR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_PROR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_PROR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_PROR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_PROR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_PROR_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_PROR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_PROR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_PROR_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_PROR_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90850409-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word Viewer 2003
"{91120000-0014-0000-0000-0000000FF1CE}" = Microsoft Office Professional 2007
"{91120000-0014-0000-0000-0000000FF1CE}_PROR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-0014-0000-0000-0000000FF1CE}_PROR_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A394E835-C8D6-4B4B-884B-D2709059F3BE}" = Network Monitor
"{A642BB6B-CA1D-4142-8DD4-318C3F3DC834}" = Rome - Total War(TM)
"{A6871F03-E140-4559-8940-AD1CC3D58CEE}" = Sony Ericsson PC Suite
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A92000000001}" = Adobe Reader 9.2 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{AC86ECA1-FA14-11D1-B4F6-00609781F44C}" = Der Brockhaus multimedial
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C4BEEB8C-B9D2-4CD9-A2AA-1F3A1F57DF21}" = Works Suite-Betriebssystem-Pack
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{C9B59DAD-86AC-456C-80A7-B665E77AA325}" = SigmaTel MSCN Audio Player
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{EBBB1DEF-8878-4CB8-BC0D-1196B30E7527}" = ANNO 1503
"{EDDDC607-91D9-4758-9F57-265FDCD8A772}" = Microsoft Works 7.0
"{F14B8ECC-BDA0-4987-9201-D7B7DBE11031}" = Nero 7
"{F7F2DC0A-C22E-49AD-AD37-797309A54E7B}" = Microsoft AutoRoute 2002
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FFFF6D5C-E2F1-4B40-BC89-8923312E89EB}}_is1" = ACE Mega CoDecS Pack
"Abe's Oddysee" = Abe's Oddysee
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Allplan FT V16" = Nemetschek Allplan FT V16
"America Online de" = AOL Deutschland
"ArCon" = mb Software ArCon
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"CCleaner" = CCleaner
"Croc" = Croc
"CToolbar_UNINSTALL" = Crawler Toolbar with Web Security Guard
"DirectXMediaRuntime" = DirectX Media Runtime 5.2b
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"FLV-Media Player" = FLV-Media Player 1.8
"Hardlock Device Driver" = Hardlock Device Driver
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"InstallShield_{44BDF2E1-A138-4AFB-A3BC-C5A2EAAE22F3}" = MultiLingua Intensiv
"InstallShield_{A642BB6B-CA1D-4142-8DD4-318C3F3DC834}" = Rome - Total War(TM)
"InterActual Player" = InterActual Player
"IPIX ActiveX Viewer" = IPIX ActiveX Viewer
"Latinum ex Machina" = Latinum ex Machina
"Macromedia Shockwave Player" = Macromedia Shockwave Player
"MAGIX mp3 maker SE" = MAGIX mp3 maker SE
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.6)" = Mozilla Firefox (3.5.6)
"MSTTS" = Microsoft Text-to-Speech Engine 4.0 (English)
"Nero BurnRights!UninstallKey" = Nero BurnRights
"NVIDIA" = NVIDIA Windows 2000/XP Display Drivers
"OINAnalytics" = OIN Analytics
"PROR" = Microsoft Office Professional 2007-Testversion
"RealPlayer 6.0" = RealPlayer Basic
"Sound Blaster AudioPCI 128" = Sound Blaster AudioPCI 128
"Spyware Terminator_is1" = Spyware Terminator
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"ViewpointMediaPlayer" = Viewpoint Media Player (Remove Only)
"VLC media player" = VLC media player 1.0.0
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WINLine" = MESONIC WINLine ® 6.4
"WinRAR archiver" = WinRAR
"Works2003Setup" = Microsoft Works 2003-Setup-Start
"XiphQT" = Xiph QuickTime Components

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Move Networks Player - IE" = Move Networks Media Player for Internet Explorer

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 16.12.2009 17:13:35 | Computer Name = THOMAS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.

Error - 17.12.2009 08:56:34 | Computer Name = THOMAS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung mbam.exe, Version 1.42.0.0, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x021a9b92.

Error - 17.12.2009 08:56:41 | Computer Name = THOMAS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.

Error - 17.12.2009 17:08:33 | Computer Name = THOMAS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung mbam.exe, Version 1.42.0.0, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x02309b92.

Error - 17.12.2009 17:08:55 | Computer Name = THOMAS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.

Error - 17.12.2009 17:09:00 | Computer Name = THOMAS | Source = Application Error | ID = 1001
Description = Fehlerhafter Speicherbereich 223874319.

Error - 17.12.2009 17:41:47 | Computer Name = THOMAS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung mbam.exe, Version 1.42.0.0, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x022b9b92.

Error - 17.12.2009 17:42:18 | Computer Name = THOMAS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.

Error - 17.12.2009 18:11:57 | Computer Name = THOMAS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul msvcr71.dll, Version 7.10.3052.4, Fehleradresse 0x00010582.

Error - 17.12.2009 18:12:16 | Computer Name = THOMAS | Source = Application Error | ID = 1001
Description = Fehlerhafter Speicherbereich 740682168.

[ System Events ]
Error - 13.12.2009 05:12:02 | Computer Name = THOMAS | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.

Error - 13.12.2009 05:12:02 | Computer Name = THOMAS | Source = Service Control Manager | ID = 7034
Description = Dienst "ICQ Service" wurde unerwartet beendet. Dies ist bereits 1
Mal passiert.

Error - 13.12.2009 19:04:40 | Computer Name = THOMAS | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Network Monitor" wurde aufgrund folgenden Fehlers nicht
gestartet: %%2

Error - 13.12.2009 19:04:50 | Computer Name = THOMAS | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
ElbyVCD

Error - 13.12.2009 19:04:56 | Computer Name = THOMAS | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Driver Helper Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.

Error - 14.12.2009 00:47:35 | Computer Name = THOMAS | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Network Monitor" wurde aufgrund folgenden Fehlers nicht
gestartet: %%2

Error - 14.12.2009 00:47:45 | Computer Name = THOMAS | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
ElbyVCD

Error - 14.12.2009 00:47:51 | Computer Name = THOMAS | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Driver Helper Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.

Error - 14.12.2009 13:51:37 | Computer Name = THOMAS | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Network Monitor" wurde aufgrund folgenden Fehlers nicht
gestartet: %%2

Error - 14.12.2009 13:51:45 | Computer Name = THOMAS | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
ElbyVCD

< End of report >

Vielen Dank schonmal
Gruß
engeltom

Hi, und noch ne Info. Heute leitet google wieder auf die dubiosen Seiten weiter. Und das Feld, wie im Bild im anderen Thread zu sehen, oben links ist wieder da.

Gestern, kam beim Herunterfahren des PCs das Fenster, dass ein Programm nicht reagiert und daher beendet werden muss. Dieses Program hieß einfach "n" (kleines n) mehr nicht. Ich habe auf sofort beendet geklickt. Bisher war dieser Fehler noch nicht aufgetreten und mir ist es etwas suspekt, wenn ein Programmname nur aus einen Buchstaben besteht.
Gruß engeltom

Was ist denn mit dem GMER Logfile? Ich fürchte, das Tool enthüllt etwas, was wir zuerst beseitigen sollten.

Hallo Cosinus,

zu allererst, ich hab es geschafft mit dem Programm Malewarebytes, alles zu löschen. Und zwar bin ich folgendermaßen vorgegangen, ich hab anfangs alle Meldungen die im Ordner "Dokumente und Einstellungen" waren nicht mit gelöscht, da ja dort das Problem lag, dass sich das Programm immer aufgehängt hat. Danach hab ich die anderen nach und nach gelöscht bis auf 2 Meldungen, die waren aber bei einem erneuten Scan nicht mehr dabei.
Ich habe die Logfiles in einer Datei zusammengefasst und hier mal hochgeladen, falls dies etwas hilft:

http://www.file-upload.net/download-2092575/logfiles-mbam.txt.html

Und hier hab ich noch eine aktuelle Auswertung von GMER:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-20 16:30:20
Windows 5.1.2600 Service Pack 3
Running: jblkh2my.exe; Driver: C:\DOKUME~1\***~1\LOKALE~1\Temp\uwtdipod.sys

---- System - GMER 1.0.15 ----

SSDT F857C666 ZwCreateKey
SSDT F857C65C ZwCreateThread
SSDT F857C66B ZwDeleteKey
SSDT F857C675 ZwDeleteValueKey
SSDT F857C67A ZwLoadKey
SSDT F857C648 ZwOpenProcess
SSDT F857C64D ZwOpenThread
SSDT F857C684 ZwReplaceKey
SSDT F857C67F ZwRestoreKey
SSDT F857C670 ZwSetValueKey
SSDT F857C657 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + F0 804E274C 2 Bytes [66, C6]
.text ntoskrnl.exe!_abnormal_termination + F3 804E274F 1 Byte [F8]
.text ntoskrnl.exe!_abnormal_termination + 120 804E277C 2 Bytes [5C, C6]
.text ntoskrnl.exe!_abnormal_termination + 123 804E277F 1 Byte [F8]
.text ntoskrnl.exe!_abnormal_termination + 234 804E2890 2 Bytes [48, C6]
.text ...
? shngsuhd.sys Das System kann die angegebene Datei nicht finden. !
.text C:\WINDOWS\System32\drivers\hardlock.sys section is writeable [0xEE641400, 0x4C904, 0xE0000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xEE6A5A20] C:\WINDOWS\System32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xEE6A5A20]
.protectÿÿÿÿhardlockunknown last code section [0xEE6A5800, 0x548B, 0xE0000020] C:\WINDOWS\System32\drivers\hardlock.sys unknown last code section [0xEE6A5800, 0x548B, 0xE0000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\avmwlanstick\wlangui.exe[1232] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 011D299A
.text C:\Programme\avmwlanstick\wlangui.exe[1232] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 011D294A
.text C:\Programme\avmwlanstick\wlangui.exe[1232] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 011D290E
.text C:\Programme\avmwlanstick\wlangui.exe[1232] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 011D28F2
.text C:\Programme\avmwlanstick\wlangui.exe[1232] WS2_32.dll!send 71A14C27 5 Bytes JMP 011D277E
.text C:\Programme\avmwlanstick\wlangui.exe[1232] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 011D2870
.text C:\Programme\avmwlanstick\wlangui.exe[1232] WS2_32.dll!recv 71A1676F 5 Bytes JMP 011D27B6
.text C:\Programme\avmwlanstick\wlangui.exe[1232] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 011D27EE
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 01AF299A
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 01AF294A
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 01AF290E
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01AF28F2
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] WS2_32.dll!send 71A14C27 5 Bytes JMP 01AF277E
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01AF2870
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01AF27B6
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1524] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01AF27EE
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 01AA299A
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 01AA294A
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 01AA290E
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01AA28F2
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] WS2_32.dll!send 71A14C27 5 Bytes JMP 01AA277E
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01AA2870
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01AA27B6
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1716] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01AA27EE
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 0134299A
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 0134294A
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 0134290E
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 013428F2
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] WS2_32.dll!send 71A14C27 5 Bytes JMP 0134277E
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01342870
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] WS2_32.dll!recv 71A1676F 5 Bytes JMP 013427B6
.text C:\Programme\avmwlanstick\WlanNetService.exe[1728] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 013427EE
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 023828F2
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] WS2_32.dll!send 71A14C27 5 Bytes JMP 0238277E
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 02382870
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] WS2_32.dll!recv 71A1676F 5 Bytes JMP 023827B6
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 023827EE
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 0238299A
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 0238294A
.text C:\Programme\Java\jre6\bin\jqs.exe[1804] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 0238290E
.text C:\WINDOWS\explorer.exe[2256] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 022D299A
.text C:\WINDOWS\explorer.exe[2256] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 022D294A
.text C:\WINDOWS\explorer.exe[2256] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 022D290E
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!closesocket 71A13E2B 3 Bytes JMP 022D28F2
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!closesocket + 4 71A13E2F 1 Byte [90]
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!send 71A14C27 3 Bytes JMP 022D277E
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!send + 4 71A14C2B 1 Byte [90]
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!WSARecv 71A14CB5 3 Bytes JMP 022D2870
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!WSARecv + 4 71A14CB9 1 Byte [90]
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!recv 71A1676F 3 Bytes JMP 022D27B6
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!recv + 4 71A16773 1 Byte [90]
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!WSASend 71A168FA 3 Bytes JMP 022D27EE
.text C:\WINDOWS\explorer.exe[2256] WS2_32.dll!WSASend + 4 71A168FE 1 Byte [90]
.text C:\WINDOWS\System32\alg.exe[3276] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 00B4299A
.text C:\WINDOWS\System32\alg.exe[3276] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 00B4294A
.text C:\WINDOWS\System32\alg.exe[3276] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 00B4290E
.text C:\WINDOWS\System32\alg.exe[3276] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00B428F2
.text C:\WINDOWS\System32\alg.exe[3276] WS2_32.dll!send 71A14C27 5 Bytes JMP 00B4277E
.text C:\WINDOWS\System32\alg.exe[3276] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00B42870
.text C:\WINDOWS\System32\alg.exe[3276] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00B427B6
.text C:\WINDOWS\System32\alg.exe[3276] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00B427EE

---- Devices - GMER 1.0.15 ----

Device \Driver\ACPI \Device\00000041 82DBFC40
Device \Driver\ACPI \Device\00000042 82DBFC40
Device \Driver\ACPI \Device\00000050 82DBFC40
Device \Driver\ACPI \Device\00000051 82DBFC40
Device \Driver\ACPI \Device\00000052 82DBFC40
Device \Driver\ACPI \Device\00000045 82DBFC40
Device \Driver\ACPI \Device\00000053 82DBFC40
Device \Driver\ACPI \Device\00000046 82DBFC40
Device \Driver\ACPI \Device\00000054 82DBFC40
Device \Driver\ACPI \Device\00000060 82DBFC40
Device \Driver\ACPI \Device\00000047 82DBFC40
Device \Driver\ACPI \Device\00000061 82DBFC40
Device \Driver\ACPI \Device\00000063 82DBFC40
Device \Driver\ACPI \Device\00000057 82DBFC40
Device \Driver\ACPI \Device\00000064 82DBFC40
Device \Driver\ACPI \Device\00000058 82DBFC40
Device \Driver\ACPI \Device\00000065 82DBFC40
Device \Driver\ACPI \Device\00000059 82DBFC40
Device \Driver\ACPI \Device\0000004c 82DBFC40
Device \Driver\ACPI \Device\0000005a 82DBFC40
Device \Driver\ACPI \Device\0000005b 82DBFC40
Device \Driver\ACPI \Device\0000004f 82DBFC40

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----v

So ich hoffe es passt alles so.

BTW zur Zeit ist googel wieder brav.

Gruß
engeltom

Combofix ist endlich wieder online. Mach damit bitte einen Durchlauf:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo cosinus,

sry, dass es so lange gedauert hat. Hatte noch ne wichtige Prüfung an der Uni und über Weihnachten war ich weg.

Habe ComboFix ausgeführt, wie du geschrieben hast. Hier die Logfile.

ComboFix 09-12-27.02 - *** 28.12.2009 8:43.1.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.288 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\kaiwk.dat
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\kaiwk_nav.dat
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\kaiwk_navps.dat
c:\programme\Mozilla Firefox\searchplugins\search.xml
c:\windows\system\oeminfo.ini
c:\windows\system32\ewfoblkl.ini
c:\windows\system32\foyiydtl.ini
c:\windows\system32\gagjeftj.ini
c:\windows\system32\gegmqdhr.ini
c:\windows\system32\golhbdng.ini
c:\windows\system32\iuekdxtb.ini
c:\windows\system32\kjjisqto.ini
c:\windows\system32\kRBJkUtv.ini
c:\windows\system32\kRBJkUtv.ini2
c:\windows\system32\kxqnhjwc.ini
c:\windows\system32\lbrwmqpm.ini
c:\windows\system32\motoymrh.ini
c:\windows\system32\nljvjwek.ini
c:\windows\system32\odygflfn.ini
c:\windows\system32\ohoyrljo.ini
c:\windows\system32\opygwrql.ini
c:\windows\system32\piaicagw.ini
c:\windows\system32\psyjqjgm.ini
c:\windows\system32\qlbkddpi.ini
c:\windows\system32\rkofcmrm.ini
c:\windows\system32\tilnhxcj.ini
c:\windows\system32\tqhirske.ini
c:\windows\system32\ycswmtig.ini

.
original MBR restored successfully !
.
((((((((((((((((((((((( Dateien erstellt von 2009-11-28 bis 2009-12-28 ))))))))))))))))))))))))))))))
.

2009-12-21 05:23 . 2009-12-21 05:23 -------- d--h--w- c:\windows\$hf_mig$
2009-12-20 16:13 . 2009-12-20 16:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-12-20 16:12 . 2009-12-20 16:12 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-12-20 16:12 . 2009-12-20 16:12 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-12-17 13:06 . 2009-12-17 13:06 -------- d-----w- c:\programme\trend micro
2009-12-17 13:06 . 2009-12-17 13:06 -------- d-----w- C:\rsit
2009-12-16 20:29 . 2009-12-16 20:29 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-12-16 20:28 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-16 20:28 . 2009-12-16 20:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-16 20:28 . 2009-12-16 20:28 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-16 20:28 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-16 20:02 . 2009-12-16 20:02 -------- d-----w- c:\programme\CCleaner
2009-12-16 19:22 . 2009-12-16 19:22 -------- d-----w- c:\programme\TrendMicro
2009-12-15 21:19 . 2001-08-17 12:51 14848 ----a-w- c:\windows\system32\dllcache\asc3550.sys
2009-12-15 21:19 . 2001-08-17 12:52 22400 ----a-w- c:\windows\system32\dllcache\asc3350p.sys
2009-12-15 21:19 . 2001-08-17 12:52 26496 ----a-w- c:\windows\system32\dllcache\asc.sys
2009-12-15 21:18 . 2001-08-17 12:47 6272 ----a-w- c:\windows\system32\dllcache\apmbatt.sys
2009-12-15 21:18 . 2002-08-28 21:59 36224 ----a-w- c:\windows\system32\dllcache\an983.sys
2009-12-15 21:18 . 2001-08-17 12:52 12032 ----a-w- c:\windows\system32\dllcache\amsint.sys
2009-12-15 21:18 . 2001-08-17 12:51 5248 ----a-w- c:\windows\system32\dllcache\aliide.sys
2009-12-15 21:18 . 2001-08-17 11:11 16969 ----a-w- c:\windows\system32\dllcache\amb8002.sys
2009-12-15 21:18 . 2001-08-17 12:49 26624 ----a-w- c:\windows\system32\dllcache\alifir.sys
2009-12-15 21:18 . 2001-08-17 11:11 27678 ----a-w- c:\windows\system32\dllcache\ali5261.sys
2009-12-15 21:18 . 2001-08-17 13:07 56960 ----a-w- c:\windows\system32\dllcache\aic78xx.sys
2009-12-15 21:18 . 2001-08-17 13:07 55168 ----a-w- c:\windows\system32\dllcache\aic78u2.sys
2009-12-15 21:18 . 2001-08-17 12:52 12800 ----a-w- c:\windows\system32\dllcache\aha154x.sys
2009-12-15 21:14 . 2001-08-18 03:52 66048 ----a-w- c:\windows\system32\dllcache\s3legacy.dll
2009-12-15 20:47 . 2009-12-15 20:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-12-15 20:47 . 2009-12-15 20:47 -------- d-----w- c:\programme\Security Task Manager
2009-12-15 20:45 . 2009-12-15 20:45 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-20 20:27 . 2009-12-20 16:14 52224 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2009-12-20 16:14 . 2009-12-20 16:14 117760 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-12-16 19:22 . 2009-12-16 19:22 388096 ----a-r- c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2009-12-15 20:48 . 2009-12-15 20:48 256 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_9040580900063D11C8EF10054038389C.dll
2009-12-15 20:47 . 2009-12-15 20:47 1084 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109E60070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 10 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109C20070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 74 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109B10070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 180 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109A10070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 60 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109910070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 108 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109810070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 92 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109610070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 423 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109020090400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 107 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109510070400000000000F01FEC.dll
2009-12-15 20:47 . 2009-12-15 20:47 108 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_00002109010070400000000000F01FEC.dll
2009-12-10 06:44 . 2002-11-21 09:59 85214 ----a-w- c:\windows\system32\perfc007.dat
2009-12-10 06:44 . 2002-11-21 09:59 460658 ----a-w- c:\windows\system32\perfh007.dat
2009-12-08 06:45 . 2009-05-15 16:54 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-04 22:06 . 2009-11-04 22:06 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\teamspeak2
2009-11-04 22:02 . 2009-11-04 22:02 -------- d-----w- c:\programme\Teamspeak2_RC2
2009-10-29 07:40 . 2002-08-29 11:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-24 08:29 . 2005-03-15 15:33 28256 ----a-w- c:\windows\system32\drivers\MxlW2k.sys
2009-10-22 05:05 . 2007-10-06 09:01 92968 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-21 05:38 . 2009-02-04 18:20 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2009-02-04 18:20 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2009-02-04 18:21 265728 ------w- c:\windows\system32\drivers\http.sys
2009-10-15 17:16 . 2009-10-15 17:16 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-10-13 10:32 . 2002-08-29 11:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2002-08-29 11:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2002-08-29 11:00 150528 ----a-w- c:\windows\system32\rastls.dll
2009-09-30 20:59 . 2009-09-30 20:59 152576 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-05-01 22:02 . 2009-05-01 22:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 22:02 . 2009-05-01 22:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-28 1454080]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 28672]
"SpywareTerminator"="c:\programme\Spyware Terminator\SpywareTerminatorShield.exe" [2008-10-08 1783808]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-09-04 11:08 935288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22 1695232 ------w- c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 15:18 413696 ----a-w- c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
2003-01-15 11:58 26112 ----a-w- c:\programme\Real\RealPlayer\realplay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-25 04:23 149280 ----a-w- c:\programme\Java\jre6\bin\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ACE Mega CoDecS Pack\\Media Player Classic\\mplayerc.exe"=
"c:\\Programme\\ACE Mega CoDecS Pack\\UtilitieS\\WMDiag.exe"=
"c:\\Programme\\Real\\RealPlayer\\REALPLAY.EXE"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"19897:TCP"= 19897:TCP:BitComet 19897 TCP
"19897:UDP"= 19897:UDP:BitComet 19897 UDP
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"8127:TCP"= 8127:TCP:Services
"8112:TCP"= 8112:TCP:Services

R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [08.10.2008 18:50 141312]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.05.2009 17:54 108289]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [25.09.2008 17:17 265088]
S0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys --> c:\windows\system32\DRIVERS\ElbyVCD.sys [?]
S1 sbpcint4;SB AudioPCI 128;c:\windows\system32\DRIVERS\sbpcint4.sys --> c:\windows\system32\DRIVERS\sbpcint4.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [25.09.2008 17:17 4352]
S3 FileObjInfo;STFileDriver;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator\fileobjinfo.sys [08.10.2008 18:50 5632]
S4 uscsc108;uscsc108;c:\windows\system32\DRIVERS\uscsc108.sys --> c:\windows\system32\DRIVERS\uscsc108.sys [?]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uSearchMigratedDefaultURL = hxxp://w*w.Google.com/
mSearchMigratedDefaultURL = hxxp://w*w.Google.com/
uInternet Settings,ProxyOverride = localhost
mSearchURL = hxxp://w*w.Google.com/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\tmmcbt23.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\tmmcbt23.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Croc - c:\programme\Fox\Croc\Uninst.isu

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net
Rootkit scan 2009-12-28 08:52
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\??????[????`??[???[`??[???????????????[???[???[???[$??????[???????????????[???????????[???w????(????3?w???w?????3?w ??w???[:???????d???r??[1??[???[d??????[?-?[????z??w8h?[\2?[?1?[htinst.INI?[?u?[????d????????I?

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2188)
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchBar.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\MFC71U.DLL
c:\programme\Gemeinsame Dateien\Ahead\Lib\BCGCBPRO800u.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\avmwlanstick\WlanNetService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Spyware Terminator\sp_rsser.exe
c:\windows\wanmpsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-28 08:58:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-12-28 07:58

Vor Suchlauf: 22 Verzeichnis(se), 25.313.017.856 Bytes frei
Nach Suchlauf: 27 Verzeichnis(se), 25.355.976.704 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - CB7AEFA943F88DD7BEC75768697B803F

Vielen Dank für die Geduld und die Unterstützung.
Gruß
engeltom

Zitat:

Mir fällt jetzt erst auf, dass Dein System nur auf FAT32 und nicht NTFS läuft. FAT32 hat mehrere Nachteile, Du kannst aber ohne Datenverlust nach NTFS konvertieren. Mehr dazu später.

Zitat:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\??????[????`??[???[`??[???????????????[???[???[???[$??????[???????????????[???????????[???w????(????3?w???w?????3?w ??w???[:???????d???r??[1??[???[d??????[?-?[????z??w8h?[\2?[?1?[htinst.INI?[?u?[????d????????I?

Ich weiß nicht was ich von diesem versteckten Eintrag halten soll. Die c:\windows\htpatch.exe ist eigentlich keine schädliche Datei, sieht hier aber verdächtig aus. Werte sie bitte bei Virustotal.com aus und poste den Ergebnislink.

Ich hab es jetzt mehrmals probiert. Entweder ich mach was falsch, oder es funktioniert im Moment nicht.

Es kommt immer folgende Seite, nachdem ich die Datei hochgeladen hab und dann auf senden klicke:

http://www.virustotal.com/de/reanalisis.html?e148f5035abcc8f33d69c867073a6501c9bc76b75f331a4a60a21e2d2b08bd9c-1261989383

Das ist so, weil die Datei schonmal non jmd. anders hochgeladen wurde. Dann kann man sich die Ergebnisse anzeigen oder nochmal auswerten lassen. Die htpatch scheint aber ok zu sein.

Oh, jetzt hab ich es. Eines meiner Addons hat da was blockiert.

Hier der Link:

http://www.virustotal.com/de/analisis/e148f5035abcc8f33d69c867073a6501c9bc76b75f331a4a60a21e2d2b08bd9c-1261989808

Ja, die Datei scheint sauber zu sein, der eine Fund ist ein Fehlalarm.

Systempartition nach NTFS konvertieren:

1) Start, Ausführen, cmd eintippen und ok
2) Befehl convert c: /fs:ntfs eintippen bestätigen mit Return oder Enter
3) Die aktuelle Bezeichnung von C: eintippen (siehst Du im Arbeitsplatz auf C:, wenn "Lokaler Datenträger" da nur steht, hat C: keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung)
4) Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neustarten lassen, geduldig sein!

Hi cosinus,
funktioniert irgendwie nicht, egal wie ich es auch eingebe. Hab sogar schon versucht den Datenträger umzubennen und diesen Namen zu benutzen. Trotzdem kommt immer wieder "Ungültige Laufwerkangabe". Hab es auch mit und ohne leer in sämtlichen Kombinationen versucht.
Gruß
Thomas

Nimm die Bezeichnung mal für das Laufwerk raus. Wenn convert nachfragt, einfach nix reinschreiben und mit Enter bestätigen, oder hast Du das schon probiert?

Hallo consinus,
funktioniert leider noch immer nicht.

Hab hier mal zwei Bilder hochgeladen, vielleicht hilft das ja bei der Problemlösung.
Einmal von meinem Arbeitsplatz:
http://www11.file-upload.net/thumb/2...49v31r6ttb.JPG

und einmal von dem "cmd":
http://www11.file-upload.net/thumb/2...qwze5aeweo.JPG

Danke und Gruß
Thomas

Du hast den Befehl falsch eingetippt :D

FALSCH: convert c: \fs:ntfs

RICHTIG: convert c: /fs:ntfs

Das ist jetzt fast ein bisschen peinlich. Aber egal. Es hat geklappt und gar nicht so lang gedauert wie ich befürchtet hatte.
Danke schonmal.

Das kommt schon vor, ist nicht schlimm :D
Wie verhält sich Dein PC denn jetzt?

Naja, wesentliche Veränderungen gabe es nicht. Bei der ganzen Bereinigungsaktion ist mir aber aufgefallen, dass er jetzt wieder schneller arbeitet. Der PC ist auch schon 8-9 Jahre alt. Deshalb hat sich sehr viel "Müll" angesammelt, der das System wohl ganz schön beeinträchtigt hat.

Google hat sich bisher auch nicht mehr verändert und leitet mich wieder normal weiter.

Ich bedanke mich auf jedenfall schonmal recht herzlich für die super Unterstützung und der ganzen Hilfe. Was ich dabei gelernt habe ist echt beträchtlich. Und ich hoffe, das mein PC demnächst etwas von diesen ganzen Plagegeistern verschont bleibt.
Gruß
Thomas

Tach cosinus,

jetzt muss ich mich doch nochmal melden. Und zwar gibt es ein Installationsproblem. Ich hab den PC aufgeräumt werden unserer Aktion und habe dabei Microsoft Word gelöscht. Jetzt hohl ich die CD raus und will es wieder Installieren da kommt eine Fehlermeldung folgender Art.

http://www.file-upload.net/download-2115810/Unbenannt.bmp.html

Die CD startete auch nicht automatisch nach dem einlegen.

Ich hoffe mal, da ist nicht noch ein Plagegeist irgendwie zurückgeblieben.

Danke
Gruß
Thomas

Ist das nur bei MS-Office/Word der Fall oder bei jeder Installation?
Prüf mal bitte in der Computerverwaltung unter Dienste (services.msc) ob der Dienst "Windows-Installer" auf den Starttyp 'manuell' steht. Er darf nicht deaktiviert sein.

Zitat:

Die CD startete auch nicht automatisch nach dem einlegen.

Das ist korrekt so, Combofix sollte den Autostart deaktiviert haben. Das ist sehr sinnvoll, damit Schädlinge nicht automatisch von externen Medien starten können. Du solltest Dich daran gwöhnen, Setups manuell auszuführen, ich finde dieser Autostart ist eine Unsitte :balla:

Hallo,
also das mit dem Autostart finde ich gar nicht so schlecht, dass der weg ist.

Unter Dienste in der PC Verwaltung steht der Windows-Installer auf Manuell.

Ich hab es jetzt noch mit einem anderen Programm und einem Spiel probiert. Beides lässt sich ohne Probleme installieren. Also scheint das Problem nur bei dieses Paket von Microsoft zu liegen. Es ist schon ein älteres Programm "Microsoft Works Suite 2003", war damals beim PC Kauf dabei und enthält eigentlich ziemlich viel Müll und eben Word und das brauch ich schon.

Gruß
Thomas

So auf die Schnelle hab ich für das Word-Problem an sich keine Lösung. Aber eine Alternative: OpenOffice!! :D

Ganz dumme Frage, gibt es noch ne weitere Alternative zu OpenOffice? Den das kann ich auch nicht installieren, da kommt die gleiche Fehlermeldung. Anscheinend mag mein PC nicht, dass ich irgendwelche "Schreibprogramme" installiere.

Hmm :(

Probier mal bitte den Windows-Installer neu zu installieren :D
=> Downloaddetails: Windows Installer 4.5

Hi cosinus,

Auftrag versucht auszuführen. Während der Installation kam folgende Fehlermeldung.

http://www.file-upload.net/download-2118337/Unbenannt.bmp.html

Vielleicht hilft das, etwas Licht in die Sache zu bringen.

Gruß
Thomas

Och nö :(
Geh mal in die Systemsteuerung => Benutzerkonten und erstell Dir ein neues Konto mit dem Benutzernamen "root" mit Admirnechten und einem Passwort. Log Dich aus und als root wieder ein. Probier die Instalaltion als root.

Hi cosinus, da funktioniert es leider auch nicht. :-(
gruß

Öffne regedit über Start, Ausführen. Navigiere zu

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall

Klick MSI30-Beta1 mit rechts an => Berechtigungen - Stell sicher, dass Admins und SYSTEM vollzugriff darauf und auf die untergeordneten Objekte in diesem Schlüssel haben!

Hallo cosinus,

erstmal wünsch ich dir ein gesundes neues Jahr.
Ich habe deine Anweisungen befolgt und wie ich es herausgelesen habe, haben beide Vollzugriff, da diese Eigenschaft vererbt wurde (graues Kästchen).
Also kann es auch nicht daran liegen.

Ich hoffe du hast noch eine andere Idee, woran es liegen könnte.
Vielen Dank schonmal
Gruß
Thomas

Wenn die Berechtigungen richtig gesetzt sind, hab ich so keine Idee mehr warum da der Fehler kommt :(

Hallo,

vielleicht hat jemand noch einen anderen Vorschlag, was mit dem Windowsinstaller nicht stimmt. Das Problem trat vermutlich auf nach dem ausführen von Combofix.
Ich frage nur nochmal nach, weil Windows Updates installieren will und das leider nicht funktioniert.

Also betroffen sind nicht alle Programme, das meiste lässt sich eigentlich Problemlos installieren, nur eben Word nicht und jetzt die Updates.

Danke Gruß
Thomas

Ich seh in dem Screenshot, dass der diesesn Schlüssel in eine Datei sichern will. Stell auch sicher, dass Du da Schreibrechte in dem genannten Ordner hast.

Hi consinus,
bins mal wieder, hatte im Moment Prüfungen und konnte mich daher nicht um mein Problem mit dem Computer kümmern. Hoffe aber ich kann es mit deiner Hilfe noch lösen.
Ich hab eigentlich eine gute und ein schlechte Nachricht. Das Problem mit MSI30-Beta1 ist gelöst. Wie ich das angestellt habe, weiß ich selbst nicht mehr, gestern ging es och nicht und heute anfangs auch nicht und auf einmal installiert er es problemlos. Jedoch kommt ein weiteres Problem und zwar MSI30-Beta2, da spuckt die Installation das gleiche Problem mit ...Registrierungsschlüssel ....sichern ... Zugriff verweigert.

Jetzt woll ich deine Tipps befolgen und mir ist aufgefallen, dass ich für diesem Ordner im "regedit" keine Berechtigungen habe und diese auch nicht setzen kann. Es kommt immer die Fehlermeldung:

Die Berechtigungsinformationen für MSI30-Beta2 wurden nicht gespeichert. Zugriff verweigert.

Vielleicht kansnt du mir weider helfen.
Vielen Dank
Gruß
Thomas

Kommando zurück.
Ich hab es geschafft. Irgendwie kann ich jetzt auf einmal alle Berechtigungen auf Vollzugriff stellen und die Installation läuft durch.
Am Ende der Installation kommt jedoch ein Fenster in dem einfach steht "Zugriff verweigert" und der Windows-Installer wird wieder deinstalliert. Weißt du vielleicht woran das liegen könnte.
Danke