Kann winlogon\taskman trojaner nicht entfernen, was tun?
 

n'abend!

habe ein problem, ich habe einen trojaner drauf der ständig neue viren mit an board holt...ich war sogar beim PC fritzen und der meinte den virus entfernt zu haben, aber spybot hat den virus dann wieder gefunden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman

Hab gegoogelt und was darüber gelesen, aber wie ich den Virus wegbekomm weiß ich nicht...

Hilfe bitte!

Gruß,
Sebi

Hallo und :hallo:

bitte nen Vollscan mit malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Danke!wird gemacht,werd die logs alsbald posten...

hab grad malwarebytes laufen lassen, hier die logfile:


Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4110

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

2010/05/17 10:22:34 PM
mbam-log-2010-05-17 (22-22-34).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 123768
Laufzeit: 4 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Du solltest einen Vollscan machen...

ok, hier auch noch die OTL logfiles:

1)

OTL Extras logfile created on: 2010/05/17 11:31:02 PM - Run 1
OTL by OldTimer - Version 3.2.4.1 Folder = C:\Dokumente und Einstellungen\Sebastian\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00001C09 | Country: Südafrika | Language: ENS | Date Format: yyyy/MM/dd

1,015.00 Mb Total Physical Memory | 533.00 Mb Available Physical Memory | 53.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 85.00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74.52 Gb Total Space | 8.53 Gb Free Space | 11.45% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: SCHLEPPTOP
Current User Name: Sebastian
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Microsoft Office Communicator\communicator.exe" = C:\Programme\Microsoft Office Communicator\communicator.exe:*:Enabled:Microsoft Office Communicator 2007 -- (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, Inc.)
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\Programme\Microsoft Office Communicator\communicator.exe" = C:\Programme\Microsoft Office Communicator\communicator.exe:*:Enabled:Microsoft Office Communicator 2007 -- (Microsoft Corporation)
"C:\Programme\BitLord\BitLord.exe" = C:\Programme\BitLord\BitLord.exe:*:Enabled:BitLord -- (BitLord - The Ultimate Torrent Downloader)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}" = mLogView
"{162B71B8-8464-4680-A086-601D555B331D}" = Apple Mobile Device Support
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}" = QuickTime
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{34D2AB40-150D-475D-AE32-BD23FB5EE355}" = HP Quick Launch Buttons 6.30 J1
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3E9D596A-61D4-4239-BD19-2DB984D2A16F}" = mIWA
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{7EE873AF-46BB-4B5D-BA6F-CFE4B0566E22}" = TuneUp Utilities Language Pack (de-DE)
"{829CD169-E692-48E8-9BDE-A3E8D8B65538}" = mSCfg
"{868D7896-99D4-4513-BC62-2B3AD3E24926}" = TuneUp Utilities 2006
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{8C6BB412-D3A8-4AAE-A01B-35B681789D68}" = mHelp
"{90120000-0010-0409-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (English) 12
"{90120000-0015-0409-0000-0000000FF1CE}" = Microsoft Office Access MUI (English) 2007
"{90120000-0015-0409-0000-0000000FF1CE}_PROPLUSR_{2FC4457D-409E-466F-861F-FB0CB796B53E}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0016-0409-0000-0000000FF1CE}" = Microsoft Office Excel MUI (English) 2007
"{90120000-0016-0409-0000-0000000FF1CE}_PROPLUSR_{2FC4457D-409E-466F-861F-FB0CB796B53E}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0409-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (English) 2007
"{90120000-0018-0409-0000-0000000FF1CE}_PROPLUSR_{2FC4457D-409E-466F-861F-FB0CB796B53E}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0019-0409-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (English) 2007
"{90120000-0019-0409-0000-0000000FF1CE}_PROPLUSR_{2FC4457D-409E-466F-861F-FB0CB796B53E}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001A-0409-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (English) 2007
"{90120000-001A-0409-0000-0000000FF1CE}_PROPLUSR_{2FC4457D-409E-466F-861F-FB0CB796B53E}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0409-0000-0000000FF1CE}" = Microsoft Office Word MUI (English) 2007
"{90120000-001B-0409-0000-0000000FF1CE}_PROPLUSR_{2FC4457D-409E-466F-861F-FB0CB796B53E}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_PROPLUSR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_PROPLUSR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0C0A-0000-0000000FF1CE}" = Microsoft Office Proof (Spanish) 2007
"{90120000-001F-0C0A-0000-0000000FF1CE}_PROPLUSR_{187308AB-5FA7-4F14-9AB9-D290383A10D9}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-002C-0409-0000-0000000FF1CE}" = Microsoft Office Proofing (English) 2007
"{90120000-0044-0409-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (English) 2007
"{90120000-0044-0409-0000-0000000FF1CE}_PROPLUSR_{2FC4457D-409E-466F-861F-FB0CB796B53E}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-006E-0409-0000-0000000FF1CE}" = Microsoft Office Shared MUI (English) 2007
"{90120000-006E-0409-0000-0000000FF1CE}_PROPLUSR_{DE5A002D-8122-4278-A7EE-3121E7EA254E}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00B2-0409-0000-0000000FF1CE}" = Microsoft Save as PDF or XPS Add-in for 2007 Microsoft Office programs
"{90120000-0115-0409-0000-0000000FF1CE}" = Microsoft Office Shared Setup Metadata MUI (English) 2007
"{90120000-0115-0409-0000-0000000FF1CE}_PROPLUSR_{DE5A002D-8122-4278-A7EE-3121E7EA254E}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0117-0409-0000-0000000FF1CE}" = Microsoft Office Access Setup Metadata MUI (English) 2007
"{90120000-0117-0409-0000-0000000FF1CE}_PROPLUSR_{2FC4457D-409E-466F-861F-FB0CB796B53E}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90B0D222-8C21-4B35-9262-53B042F18AF9}" = mPfWiz
"{91120000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2007
"{91120000-0011-0000-0000-0000000FF1CE}_PROPLUSR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-0011-0000-0000-0000000FF1CE}_PROPLUSR_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{94658027-9F16-4509-BBD7-A59FE57C3023}" = mZConfig
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9C9D0F85-5658-4A5E-95A9-65F7DB2916EE}" = Broadcom 440x 10/100 Integrated Controller
"{A0F925BF-5C55-44C2-A4E7-5A4C59791C29}" = mDriver
"{C26B06A9-27BB-45B0-9873-9C623EC2BA38}" = iTunes
"{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}" = TuneUp Utilities
"{E5BA0430-919F-46DD-B656-0796F8A5ADFF}" = Microsoft Office Communicator 2007
"{E81667C6-2856-46D6-ABEA-6A2F42166779}" = mCore
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{F6090A17-0967-4A8A-B3C3-422A1B514D49}" = mDrWiFi
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Agere Systems Soft Modem" = Agere Systems HDA Modem
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"BitLord" = BitLord 1.1
"Broadcom 802.11b Network Adapter" = Broadcom 802.11-WLAN-Adapter
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Mozilla Firefox (3.0.11)" = Mozilla Firefox (3.0.11)
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"NeroVision!UninstallKey" = Nero Digital
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"ProInst" = Intel(R) PROSet/Wireless Software
"PROPLUSR" = Microsoft Office Professional Plus 2007
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TuneUp Utilities" = TuneUp Utilities
"TVAnts ActiveX Control 1.0" = TVAnts ActiveX Control 1.0
"VLC media player" = VideoLAN VLC media player 0.8.4a
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Windows Media Format Runtime" = Windows Media Format Runtime
"WinRAR archiver" = WinRAR
"Xilisoft Download YouTube Video" = Xilisoft Download YouTube Video

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 2009/06/20 11:11:39 AM | Computer Name = SCHLEPPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung wmplayer.exe, Version 9.0.0.3250, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 2010/04/09 01:25:09 PM | Computer Name = SCHLEPPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung 6628.exe, Version 5.1.2600.5694, fehlgeschlagenes
Modul 6628.exe, Version 5.1.2600.5694, Fehleradresse 0x0000874b.

Error - 2010/04/09 01:26:28 PM | Computer Name = SCHLEPPTOP | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .

Error - 2010/04/09 01:26:28 PM | Computer Name = SCHLEPPTOP | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .

Error - 2010/04/09 07:04:07 PM | Computer Name = SCHLEPPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung oneclick.exe, Version 9.0.4100.12, fehlgeschlagenes
Modul rtl120.bpl, Version 12.0.3210.17555, Fehleradresse 0x000087f2.

Error - 2010/04/11 05:57:20 PM | Computer Name = SCHLEPPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung winstyler.exe, Version 9.0.4100.12, fehlgeschlagenes
Modul rtl120.bpl, Version 12.0.3210.17555, Fehleradresse 0x00046f22.

Error - 2010/04/17 06:47:57 AM | Computer Name = SCHLEPPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung SpybotSD.exe, Version 1.6.2.46, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 2010/05/12 06:32:40 PM | Computer Name = SCHLEPPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung imgares.exe, Version 1.0.0.1, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.3520, Fehleradresse 0x00010f20.

Error - 2010/05/12 06:32:51 PM | Computer Name = SCHLEPPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung Imgares.exe, Version 1.0.0.1, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 2010/05/12 06:33:42 PM | Computer Name = SCHLEPPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung imgares.exe, Version 1.0.0.1, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.3520, Fehleradresse 0x00010f20.

[ System Events ]
Error - 2010/05/12 12:00:00 PM | Computer Name = SCHLEPPTOP | Source = Schedule | ID = 7901
Description = Der Befehl "At19.job" konnte aufgrund folgenden Fehlers nicht ausgeführt
werden: %%2147942402

Error - 2010/05/12 01:00:00 PM | Computer Name = SCHLEPPTOP | Source = Schedule | ID = 7901
Description = Der Befehl "At20.job" konnte aufgrund folgenden Fehlers nicht ausgeführt
werden: %%2147942402

Error - 2010/05/12 02:00:00 PM | Computer Name = SCHLEPPTOP | Source = Schedule | ID = 7901
Description = Der Befehl "At21.job" konnte aufgrund folgenden Fehlers nicht ausgeführt
werden: %%2147942402

Error - 2010/05/12 03:00:00 PM | Computer Name = SCHLEPPTOP | Source = Schedule | ID = 7901
Description = Der Befehl "At22.job" konnte aufgrund folgenden Fehlers nicht ausgeführt
werden: %%2147942402

Error - 2010/05/12 04:00:00 PM | Computer Name = SCHLEPPTOP | Source = Schedule | ID = 7901
Description = Der Befehl "At23.job" konnte aufgrund folgenden Fehlers nicht ausgeführt
werden: %%2147942402

Error - 2010/05/12 05:00:00 PM | Computer Name = SCHLEPPTOP | Source = Schedule | ID = 7901
Description = Der Befehl "At24.job" konnte aufgrund folgenden Fehlers nicht ausgeführt
werden: %%2147942402

Error - 2010/05/12 06:02:00 PM | Computer Name = SCHLEPPTOP | Source = Schedule | ID = 7901
Description = Der Befehl "At1.job" konnte aufgrund folgenden Fehlers nicht ausgeführt
werden: %%2147942402

Error - 2010/05/12 07:00:00 PM | Computer Name = SCHLEPPTOP | Source = Schedule | ID = 7901
Description = Der Befehl "At2.job" konnte aufgrund folgenden Fehlers nicht ausgeführt
werden: %%2147942402

Error - 2010/05/13 07:02:26 AM | Computer Name = SCHLEPPTOP | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "ComboFix.exe" auf Volume "HarddiskVolume1"
ist im Wiederherstellungsfilter der unerwartete Fehler "0xC0000043" aufgetreten.
Die Volumeüberwachung wurde angehalten.

Error - 2010/05/17 04:15:32 PM | Computer Name = SCHLEPPTOP | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Ati
External Event Utility.


< End of report >


2)


OTL logfile created on: 2010/05/17 11:31:02 PM - Run 1
OTL by OldTimer - Version 3.2.4.1 Folder = C:\Dokumente und Einstellungen\Sebastian\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00001C09 | Country: Südafrika | Language: ENS | Date Format: yyyy/MM/dd

1,015.00 Mb Total Physical Memory | 533.00 Mb Available Physical Memory | 53.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 85.00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74.52 Gb Total Space | 8.53 Gb Free Space | 11.45% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: SCHLEPPTOP
Current User Name: Sebastian
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\Sebastian\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\WINDOWS\system32\houfunocoor.exe (Four-F)
PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe (TuneUp Software)
PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe (Motive Communications, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
PRC - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
PRC - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (TuneUp Software GmbH)


========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\Sebastian\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)
MOD - C:\Programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll ()


========== Win32 Services (SafeList) ==========

SRV - (yeg0auiavae5oyu) -- File not found
SRV - (TuneUp.Defrag) -- C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe (TuneUp Software)
SRV - (eygimovnxku) -- C:\WINDOWS\system32\tooziwig.exe (Four-F)
SRV - (TuneUp.UtilitiesSvc) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software)
SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (McciCMService) -- C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe (Motive Communications, Inc.)
SRV - (EvtEng) Intel(R) -- C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
SRV - (S24EventMonitor) Intel(R) -- C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
SRV - (RegSrvc) Intel(R) -- C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (TUWinStylerThemeSvc) -- C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (TuneUp Software GmbH)


========== Driver Services (SafeList) ==========

DRV - (uzi3ndu1) -- C:\WINDOWS\system32\drivers\uzi3ndu1.sys ()
DRV - (pxrts) -- C:\WINDOWS\system32\drivers\pxrts.sys (Prevx)
DRV - (pxscan) -- C:\WINDOWS\System32\drivers\pxscan.sys (Prevx)
DRV - (pxkbf) -- C:\WINDOWS\system32\drivers\pxkbf.sys (Prevx)
DRV - (TuneUpUtilitiesDrv) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys (TuneUp Software)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (MREMP50) -- C:\Programme\Gemeinsame Dateien\Motive\MREMP50.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (MRESP50) -- C:\Programme\Gemeinsame Dateien\Motive\MRESP50.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (ADIHdAudAddService) -- C:\WINDOWS\system32\drivers\ADIHdAud.sys (Analog Devices, Inc.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)
DRV - (HpqKbFiltr) -- C:\WINDOWS\system32\drivers\HpqKbFiltr.sys (Hewlett-Packard Development Company, L.P.)
DRV - (NETw4x32) Intel(R) -- C:\WINDOWS\system32\drivers\NETw4x32.sys (Intel Corporation)
DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (HBtnKey) -- C:\WINDOWS\system32\drivers\CPQBttn.sys (Hewlett-Packard Development Company, L.P.)
DRV - (bcm4sbxp) -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys (Broadcom Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {0545b830-f0aa-4d7e-8820-50a4629a56fe}:4.6


FF - HKLM\software\mozilla\Mozilla Firefox 3.0.11\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009/06/20 07:07:59 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.11\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009/06/13 15:00:56 | 000,000,000 | ---D | M]

[2008/09/10 09:43:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Mozilla\Extensions
[2010/05/17 22:32:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\y6054xfg.default\extensions
[2010/05/13 13:21:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\y6054xfg.default\extensions\{0545b830-f0aa-4d7e-8820-50a4629a56fe}
[2008/09/10 09:43:18 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009/02/06 20:13:23 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009/02/06 20:13:23 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009/02/06 20:13:23 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009/02/06 20:13:23 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009/02/06 20:13:23 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010/04/09 19:35:38 | 000,385,986 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 Proben bei 1000Gratisproben.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 13312 more lines...
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx ()
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (Sun Microsystems, Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [tessoub] C:\WINDOWS\system32\houfunocoor.exe (Four-F)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM ()
O8 - Extra context menu item: E&xport to Microsoft Excel - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll (Sun Microsystems, Inc.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} hxxp://upload.facebook.com/controls/FacebookPhotoUploader5.cab (Facebook Photo Uploader 5)
O16 - DPF: {4C833081-D026-4FF8-968F-7EAB660D2FBA} hxxp://download.tvants.com/pub/tvants/tvants1/win32/cab/tvants.cab (TVAnts ActiveX Control)
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1217956634 (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UIHost - (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe) - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/05/10 09:53:54 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010/05/17 22:25:10 | 000,571,392 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sebastian\Desktop\OTL.exe
[2010/05/17 22:17:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Malwarebytes
[2010/05/17 22:17:26 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010/05/17 22:17:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010/05/17 22:17:23 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010/05/17 22:17:23 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010/05/17 22:16:30 | 006,153,352 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Sebastian\Desktop\mbam-setup-1.46.exe
[2010/05/17 20:56:52 | 000,000,000 | ---D | C] -- C:\41d3af1abfa4f1f72688
[2010/05/13 13:08:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Media
[2010/05/13 11:34:28 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010/05/13 11:34:27 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Sebastian\Recent
[2010/05/13 10:03:49 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2010/05/13 09:53:34 | 000,000,000 | ---D | C] -- C:\9072b1f0a91a00e85a
[2010/05/13 01:41:04 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010/05/13 01:37:23 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010/05/13 01:37:23 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010/05/13 01:37:23 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010/05/13 01:37:23 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010/05/13 01:37:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010/05/13 01:36:06 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010/05/12 13:11:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\PTBSync
[2010/05/12 13:11:08 | 000,000,000 | --SD | C] -- C:\Programme\PTBSync
[1 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010/05/17 22:25:22 | 000,571,392 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sebastian\Desktop\OTL.exe
[2010/05/17 22:20:14 | 000,731,572 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010/05/17 22:20:14 | 000,320,708 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010/05/17 22:20:14 | 000,315,758 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010/05/17 22:20:14 | 000,049,852 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010/05/17 22:20:14 | 000,041,692 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010/05/17 22:16:51 | 006,153,352 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Sebastian\Desktop\mbam-setup-1.46.exe
[2010/05/17 22:15:36 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010/05/17 22:14:47 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010/05/17 22:14:44 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010/05/17 22:13:58 | 008,650,752 | ---- | M] () -- C:\Dokumente und Einstellungen\Sebastian\NTUSER.DAT
[2010/05/17 22:13:58 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Sebastian\ntuser.ini
[2010/05/13 17:44:04 | 003,361,346 | -H-- | M] () -- C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010/05/13 13:10:57 | 000,274,168 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010/05/13 13:08:57 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010/05/13 13:08:53 | 000,088,576 | ---- | M] () -- C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/05/13 10:02:14 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010/05/13 01:41:10 | 000,000,460 | RHS- | M] () -- C:\boot.ini
[2010/04/29 15:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010/04/29 15:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010/04/26 15:58:12 | 000,256,512 | ---- | M] () -- C:\WINDOWS\PEV.exe
[1 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010/05/13 01:41:10 | 000,000,389 | ---- | C] () -- C:\Boot.bak
[2010/05/13 01:41:06 | 000,260,272 | ---- | C] () -- C:\cmldr
[2010/05/13 01:37:23 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010/05/13 01:37:23 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010/05/13 01:37:23 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010/05/13 01:37:23 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010/05/13 01:37:23 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010/04/11 15:38:04 | 000,011,264 | ---- | C] () -- C:\WINDOWS\System32\drivers\uzi3ndu1.sys
[2010/04/10 12:50:36 | 000,000,051 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2008/09/13 16:26:00 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\CNMVS61.DLL
[2008/05/17 19:41:51 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008/05/10 11:15:41 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008/05/10 11:15:41 | 000,000,063 | ---- | C] () -- C:\WINDOWS\mdm.ini
[2008/05/10 11:15:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NSREX.INI
[2008/05/10 10:44:32 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4864.dll
[1999/01/22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
[1998/03/18 11:12:02 | 000,003,806 | ---- | C] () -- C:\WINDOWS\System32\mmc.ini
< End of report >

Malwarebytes logfile:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4110

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

2010/05/18 12:35:02 AM
mbam-log-2010-05-18 (00-35-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 222499
Laufzeit: 55 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

yes sir! hab ich gemacht, logfile lautet wie folgt:

All processes killed
========== OTL ==========
No active process named houfunocoor.exe was found!
Service yeg0auiavae5oyu stopped successfully!
Service yeg0auiavae5oyu deleted successfully!
File File not found not found.
Service eygimovnxku stopped successfully!
Service eygimovnxku deleted successfully!
C:\WINDOWS\system32\tooziwig.exe moved successfully.
Error: Unable to stop service uzi3ndu1!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\uzi3ndu1 deleted successfully.
C:\WINDOWS\system32\drivers\uzi3ndu1.sys moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\tessoub deleted successfully.
C:\WINDOWS\system32\houfunocoor.exe moved successfully.
C:\41d3af1abfa4f1f72688 folder moved successfully.
C:\9072b1f0a91a00e85a folder moved successfully.
========== FILES ==========
File\Folder C:\WINDOWS\system32\houfunocoor.exe not found.
File\Folder C:\WINDOWS\system32\tooziwig.exe not found.
File\Folder C:\WINDOWS\system32\drivers\uzi3ndu1.sys not found.
File\Folder C:\WINDOWS\system32\drivers\yeg0auiavae5oyu.sys not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Sebastian
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 155700 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 48135110 bytes
->Flash cache emptied: 1927 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 57344 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 82384 bytes

Total Files Cleaned = 46.00 mb


OTL by OldTimer - Version 3.2.4.1 log created on 05182010_184034

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dann bitte jetzt CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ComboFix 10-05-12.01 - Sebastian 2010/05/18 20:26:26.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.27.1031.18.1015.647 [GMT 2:00]
Running from: c:\dokumente und einstellungen\Sebastian\Eigene Dateien\Symbolleiste Royal TS\System Care\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((( Files Created from 2010-04-18 to 2010-05-18 )))))))))))))))))))))))))))))))
.

2010-05-18 16:40 . 2010-05-18 16:40 -------- d-----w- C:\_OTL
2010-05-18 16:36 . 2010-05-18 16:36 -------- d-----w- C:\83e2ada7cfcab60d50489686
2010-05-17 20:17 . 2010-05-17 20:17 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Malwarebytes
2010-05-17 20:17 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-17 20:17 . 2010-05-17 20:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-17 20:17 . 2010-05-17 20:17 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-05-17 20:17 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-12 11:11 . 2010-05-12 11:11 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\PTBSync
2010-05-12 11:11 . 2010-05-12 11:11 -------- d-----w- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2010-05-12 11:11 . 2010-05-13 11:10 -------- d-s---w- c:\programme\PTBSync

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-18 18:23 . 2010-04-09 17:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-18 16:48 . 2007-10-29 12:00 49852 ----a-w- c:\windows\system32\perfc007.dat
2010-05-18 16:48 . 2007-10-29 12:00 320708 ----a-w- c:\windows\system32\perfh007.dat
2010-05-13 11:05 . 2008-11-04 13:16 -------- d-----w- c:\programme\IncrediMail
2010-05-13 07:53 . 2008-09-24 10:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-05-12 22:35 . 2009-03-20 18:36 -------- d-----w- c:\programme\Imgares
2010-04-17 10:18 . 2009-03-23 15:20 -------- d-----w- c:\programme\QuickTime
2010-04-11 22:00 . 2010-04-11 22:00 515072 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe
2010-04-11 21:57 . 2008-08-14 00:09 2278400 -c--a-w- c:\windows\system32\TUKernel.exe
2010-04-11 13:42 . 2010-04-11 13:42 205279 ----a-w- C:\quarantine.zip
2010-04-10 14:46 . 2010-04-10 10:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2010-04-10 10:51 . 2010-04-10 10:51 53160 ----a-w- c:\windows\system32\PxSecure.dll
2010-04-10 10:51 . 2010-04-10 10:51 53088 ----a-w- c:\windows\system32\drivers\pxrts.sys
2010-04-10 10:51 . 2010-04-10 10:51 30280 ----a-w- c:\windows\system32\drivers\pxscan.sys
2010-04-10 10:50 . 2010-04-10 10:50 24368 ----a-w- c:\windows\system32\drivers\pxkbf.sys
2010-04-10 08:46 . 2010-04-10 08:46 -------- d-----w- c:\programme\CCleaner
2010-04-09 23:00 . 2010-04-09 22:59 -------- d-----w- c:\programme\TuneUp Utilities 2010
2010-04-09 22:59 . 2008-08-13 03:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2010-04-09 22:59 . 2010-04-09 22:59 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-04-09 22:52 . 2009-03-23 15:21 -------- d-----w- c:\programme\iTunes
2010-04-09 17:28 . 2010-04-09 17:27 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-04-01 13:17 . 2010-04-09 23:00 30536 ----a-w- c:\windows\system32\TURegOpt.exe
2010-04-01 13:11 . 2010-04-09 23:00 30024 ----a-w- c:\windows\system32\uxtuneup.dll
2010-03-11 12:31 . 2007-10-29 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:31 . 2007-10-29 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:31 . 2007-10-29 12:00 17408 ------w- c:\windows\system32\corpol.dll
2010-03-09 11:09 . 2007-10-29 12:00 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-02-24 12:31 . 2007-10-29 12:00 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.
((((((((((((((((((((((((((((( SnapShot@2010-05-13_08.02.14 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-10-29 12:00 . 2010-05-13 07:54 41692 c:\windows\system32\perfc009.dat
+ 2007-10-29 12:00 . 2010-05-18 16:48 41692 c:\windows\system32\perfc009.dat
+ 2007-10-29 12:00 . 2010-05-18 16:48 315758 c:\windows\system32\perfh009.dat
- 2007-10-29 12:00 . 2010-05-13 07:54 315758 c:\windows\system32\perfh009.dat
+ 2008-05-10 08:37 . 2010-05-13 11:10 274168 c:\windows\system32\FNTCACHE.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-10-29 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_Reader]
c:\programme\internet explorer\wmpscfgs.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\housakif]
c:\windows\system32\commoupucyz.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
c:\progra~1\INCRED~1\bin\IncMail.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 08:50 155648 -c--a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PTBSync]
c:\programme\PTBSync\PTBSync.exe [N/A]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office Communicator\\communicator.exe"=
"c:\\Programme\\BitLord\\BitLord.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [2010/04/10 12:51 PM 30280]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009/05/25 09:31 AM 108289]
R2 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [2010/04/10 12:51 PM 53088]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [2010/04/01 03:14 PM 1050440]
R3 pxkbf;pxkbf;c:\windows\system32\drivers\pxkbf.sys [2010/04/10 12:50 PM 24368]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [2010/02/24 02:41 PM 10064]
S2 rivlmmrvh;\??\c:\do;\??\c:\dokume~1\SEBAST~1\LOKALE~1\Temp\iqqhyrczavdcmwd.sys --> c:\dokume~1\SEBAST~1\LOKALE~1\Temp\iqqhyrczavdcmwd.sys [?]
S2 vjlwanpmmbpqzpq;\??\c:\dokume~1;\??\c:\dokume~1\SEBAST~1\LOKALE~1\Temp\kdlkyxaiq.sys --> c:\dokume~1\SEBAST~1\LOKALE~1\Temp\kdlkyxaiq.sys [?]

--- Other Services/Drivers In Memory ---

*Deregistered* - mchInjDrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder

2010-04-09 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-17 20:50]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Download with Xilisoft Download YouTube Video - c:\programme\Xilisoft\Download YouTube Video\upod_link.HTM
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {4C833081-D026-4FF8-968F-7EAB660D2FBA} - hxxp://download.tvants.com/pub/tvants/tvants1/win32/cab/tvants.cab
FF - ProfilePath - c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\y6054xfg.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-18 20:30
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc21.tmp"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1696)
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll

- - - - - - - > 'lsass.exe'(1816)
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll

- - - - - - - > 'explorer.exe'(4052)
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll
.
Completion time: 2010-05-18 20:32:35
ComboFix-quarantined-files.txt 2010-05-18 18:32
ComboFix2.txt 2010-05-13 08:03

Pre-Run: 9,163,218,944 Bytes frei
Post-Run: 9,130,205,184 Bytes frei

- - End Of File - - 73C03A8BD106AA2A0A668A4A8B1A7A2F

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

ComboFix 10-05-12.01 - Sebastian 2010/05/18 21:38:41.4.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.27.1031.18.1015.614 [GMT 2:00]
Running from: c:\dokumente und einstellungen\Sebastian\Eigene Dateien\Symbolleiste Royal TS\System Care\ComboFix.exe
Command switches used :: c:\dokumente und einstellungen\Sebastian\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\dokume~1\SEBAST~1\LOKALE~1\Temp\iqqhyrczavdcmwd.sys"
"c:\dokume~1\SEBAST~1\LOKALE~1\Temp\kdlkyxaiq.sys"
"c:\programme\Analog Devices\Core\smax4pnp .exe"
"c:\programme\Analog Devices\SoundMAX\smax4 .exe"
"c:\programme\Hewlett-Packard\HP Quick Launch Buttons\qlbctrl .exe"
"c:\programme\Intel\Wireless\Bin\ifrmewrk .exe"
"c:\programme\Intel\Wireless\Bin\zcfgsvc .exe"
"c:\programme\internet explorer\wmpscfgs.exe"
"c:\programme\iTunes\ituneshelper .exe"
"c:\programme\Java\jre1.6.0_07\bin\jusched .exe"
"c:\programme\QuickTime\qttask .exe"
"c:\programme\Synaptics\SynTP\syntpstart .exe"
"c:\windows\system32\commoupucyz.exe"
"c:\windows\TEMP\mc21.tmp"
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\83e2ada7cfcab60d50489686
c:\83e2ada7cfcab60d50489686\MRT.exe
c:\programme\Analog Devices\Core\smax4pnp .exe
c:\programme\Analog Devices\SoundMAX\smax4 .exe
c:\programme\Hewlett-Packard\HP Quick Launch Buttons\qlbctrl .exe
c:\programme\Intel\Wireless\Bin\ifrmewrk .exe
c:\programme\Intel\Wireless\Bin\zcfgsvc .exe
c:\programme\iTunes\ituneshelper .exe
c:\programme\Java\jre1.6.0_07\bin\jusched .exe
c:\programme\QuickTime\qttask .exe
c:\programme\Synaptics\SynTP\syntpstart .exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RIVLMMRVH
-------\Legacy_VJLWANPMMBPQZPQ
-------\Service_rivlmmrvh
-------\Service_vjlwanpmmbpqzpq


((((((((((((((((((((((((( Files Created from 2010-04-18 to 2010-05-18 )))))))))))))))))))))))))))))))
.

2010-05-18 16:40 . 2010-05-18 16:40 -------- d-----w- C:\_OTL
2010-05-17 20:17 . 2010-05-17 20:17 -------- d-----w- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Malwarebytes
2010-05-17 20:17 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-17 20:17 . 2010-05-17 20:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-17 20:17 . 2010-05-17 20:17 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-05-17 20:17 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-12 11:11 . 2010-05-12 11:11 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\PTBSync
2010-05-12 11:11 . 2010-05-12 11:11 -------- d-----w- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2010-05-12 11:11 . 2010-05-13 11:10 -------- d-s---w- c:\programme\PTBSync

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-18 19:41 . 2009-03-23 15:21 -------- d-----w- c:\programme\iTunes
2010-05-18 19:41 . 2009-03-23 15:20 -------- d-----w- c:\programme\QuickTime
2010-05-18 19:37 . 2008-06-10 12:10 71264 -c--a-w- c:\dokumente und einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-18 18:23 . 2010-04-09 17:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-18 16:48 . 2007-10-29 12:00 49852 ----a-w- c:\windows\system32\perfc007.dat
2010-05-18 16:48 . 2007-10-29 12:00 320708 ----a-w- c:\windows\system32\perfh007.dat
2010-05-13 11:05 . 2008-11-04 13:16 -------- d-----w- c:\programme\IncrediMail
2010-05-13 07:53 . 2008-09-24 10:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-05-12 22:35 . 2009-03-20 18:36 -------- d-----w- c:\programme\Imgares
2010-04-11 22:00 . 2010-04-11 22:00 515072 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe
2010-04-11 21:57 . 2008-08-14 00:09 2278400 -c--a-w- c:\windows\system32\TUKernel.exe
2010-04-11 13:42 . 2010-04-11 13:42 205279 ----a-w- C:\quarantine.zip
2010-04-10 14:46 . 2010-04-10 10:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2010-04-10 10:51 . 2010-04-10 10:51 53160 ----a-w- c:\windows\system32\PxSecure.dll
2010-04-10 10:51 . 2010-04-10 10:51 53088 ----a-w- c:\windows\system32\drivers\pxrts.sys
2010-04-10 10:51 . 2010-04-10 10:51 30280 ----a-w- c:\windows\system32\drivers\pxscan.sys
2010-04-10 10:50 . 2010-04-10 10:50 24368 ----a-w- c:\windows\system32\drivers\pxkbf.sys
2010-04-10 08:46 . 2010-04-10 08:46 -------- d-----w- c:\programme\CCleaner
2010-04-09 23:00 . 2010-04-09 22:59 -------- d-----w- c:\programme\TuneUp Utilities 2010
2010-04-09 22:59 . 2008-08-13 03:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2010-04-09 22:59 . 2010-04-09 22:59 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-04-09 17:28 . 2010-04-09 17:27 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-04-01 13:17 . 2010-04-09 23:00 30536 ----a-w- c:\windows\system32\TURegOpt.exe
2010-04-01 13:11 . 2010-04-09 23:00 30024 ----a-w- c:\windows\system32\uxtuneup.dll
2010-03-11 12:31 . 2007-10-29 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:31 . 2007-10-29 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:31 . 2007-10-29 12:00 17408 ------w- c:\windows\system32\corpol.dll
2010-03-09 11:09 . 2007-10-29 12:00 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-02-24 12:31 . 2007-10-29 12:00 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

((((((((((((((((((((((((((((( SnapShot@2010-05-13_08.02.14 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-10-29 12:00 . 2010-05-13 07:54 41692 c:\windows\system32\perfc009.dat
+ 2007-10-29 12:00 . 2010-05-18 16:48 41692 c:\windows\system32\perfc009.dat
+ 2007-10-29 12:00 . 2010-05-18 16:48 315758 c:\windows\system32\perfh009.dat
- 2007-10-29 12:00 . 2010-05-13 07:54 315758 c:\windows\system32\perfh009.dat
+ 2008-05-10 08:37 . 2010-05-18 19:43 269392 c:\windows\system32\FNTCACHE.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-10-29 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 08:50 155648 -c--a-w- c:\windows\system32\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office Communicator\\communicator.exe"=
"c:\\Programme\\BitLord\\BitLord.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [2010/04/10 12:51 PM 30280]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009/05/25 09:31 AM 108289]
R2 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [2010/04/10 12:51 PM 53088]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [2010/04/01 03:14 PM 1050440]
R3 pxkbf;pxkbf;c:\windows\system32\drivers\pxkbf.sys [2010/04/10 12:50 PM 24368]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [2010/02/24 02:41 PM 10064]

--- Other Services/Drivers In Memory ---

*Deregistered* - mchInjDrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder

2010-04-09 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-17 20:50]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Download with Xilisoft Download YouTube Video - c:\programme\Xilisoft\Download YouTube Video\upod_link.HTM
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {4C833081-D026-4FF8-968F-7EAB660D2FBA} - hxxp://download.tvants.com/pub/tvants/tvants1/win32/cab/tvants.cab
FF - ProfilePath - c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\y6054xfg.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-IncrediMail - c:\progra~1\INCRED~1\bin\IncMail.exe
MSConfigStartUp-PTBSync - c:\programme\PTBSync\PTBSync.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-18 21:43
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1356)
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll

- - - - - - - > 'lsass.exe'(1428)
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll

- - - - - - - > 'explorer.exe'(2348)
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll
.
------------------------ Other Running Processes ------------------------
.
c:\programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Gemeinsame Dateien\Motive\McciCMService.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Hewlett-Packard\Shared\hpqwmiex.exe
c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
c:\\?\c:\windows\system32\WBEM\WMIADAP.EXE
.
**************************************************************************
.
Completion time: 2010-05-18 21:47:45 - machine was rebooted
ComboFix-quarantined-files.txt 2010-05-18 19:47
ComboFix2.txt 2010-05-18 18:32
ComboFix3.txt 2010-05-13 08:03

Pre-Run: 9,132,404,736 Bytes frei
Post-Run: 9,011,118,080 Bytes frei

- - End Of File - - 7CB69CA55791295661814A9604A33280

Ich musste rel. viel wegscripten, überprüf mal so grob ob noch alles geht :rolleyes:
Falls offensichtlich noch alles geht bitte zur Kontrolle Vollscans mit Malwarebytes und SASW machen und die Logs poste.
Denk dran beide Tools zu updaten vor dem Scan!!

warum musstest du soviel wegscripten? war der computer so schlimm verseucht? sieht so aus als würd noch alles funktioniern...
scanne grad mit superantispyware...dauert aber eeeewig, ich poste die logs dann morgen

ok, hier das log:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/19/2010 at 01:05 AM

Application Version : 4.37.1000

Core Rules Database Version : 4951
Trace Rules Database Version: 2763

Scan type : Complete Scan
Total Scan Time : 02:06:26

Memory items scanned : 445
Memory threats detected : 0
Registry items scanned : 4954
Registry threats detected : 0
File items scanned : 104337
File threats detected : 6

Trojan.Agent/Gen-Mispl[Falver-CA]
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\COMMOUPUCYZ .EXE.VIR
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\COMMOUPUCYZ.EXE.VIR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5BF9F71D-2C57-4B2B-84A1-A00BEF199656}\RP2\A0001169.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{5BF9F71D-2C57-4B2B-84A1-A00BEF199656}\RP2\A0001262.EXE
C:\_OTL\MOVEDFILES\05182010_184034\C_WINDOWS\SYSTEM32\HOUFUNOCOOR.EXE
C:\_OTL\MOVEDFILES\05182010_184034\C_WINDOWS\SYSTEM32\TOOZIWIG.EXE

Ja, da musste rel. viel weg. Und ich wollte mich nur vergewissern, dass nichts offensichtlich wichtiges an Dateien wegkommt. SASW hat zwar was gefunden, aber nur in den Quarantäneordnern (dort sind die Schadobjekte isoliert und ungefährlich) und zwei Überbleibsel in der Systemwiederherstellung.

ist das system jetzt wieder clean? vielen dank, hast mir sehr geholfen!!!
kannst du mir nen gefallen tun? ich hab noch nen anderen laptop, der müßte eigentlich clean sein (spybot und antivir finden nix) aber nur mal so zur kontrolle, hab mal malwarebytes und combofix drüberlaufen lassen, hier die logs: 1000dank!

MALWAREBYTES

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4111

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19/05/2010 1:38:06
mbam-log-2010-05-19 (01-38-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 291931
Laufzeit: 6 Stunde(n), 7 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)







COMBOFIX

ComboFix 10-05-12.03 - Sebi 13/05/2010 11:51:58.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.34.1031.18.1012.422 [GMT 3:00]
ausgeführt von:: c:\dokumente und einstellungen\Sebi\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Sebi\wrar300.exe
c:\programme\Internet Explorer\SETE1.tmp
c:\programme\Internet Explorer\SETE7.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2010-04-13 bis 2010-05-13 ))))))))))))))))))))))))))))))
.

2010-05-13 07:47 . 2010-05-13 07:47 -------- d-----w- c:\windows\LastGood
2010-04-25 20:48 . 2010-04-25 20:48 14416 ----a-w- c:\windows\system32\drivers\ptbring0.sys
2010-04-25 20:18 . 2008-09-16 19:23 168448 ----a-w- c:\windows\system32\unrar.dll
2010-04-25 20:18 . 2010-04-25 20:19 -------- d-----w- c:\programme\K-Lite Codec Pack
2010-04-24 11:10 . 2010-04-24 11:10 118784 ----a-w- c:\windows\jss3.dll
2010-04-21 23:15 . 2010-04-21 23:17 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-04-21 23:15 . 2010-04-21 23:15 -------- d-----w- c:\programme\DVDVideoSoft
2010-04-15 13:52 . 2010-04-15 13:53 -------- d--h--w- c:\windows\Icons
2010-04-15 09:14 . 2008-04-13 21:00 221184 ----a-w- c:\windows\system32\wmpns.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-13 07:51 . 2008-08-20 23:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-05-13 07:50 . 2010-03-29 09:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-12 20:13 . 2010-01-13 21:41 -------- d-----w- c:\programme\Microsoft ActiveSync
2010-05-12 20:10 . 2010-03-04 00:22 -------- d-----w- c:\programme\LingvoSoft
2010-05-12 10:55 . 2009-08-29 21:30 -------- d-----w- c:\programme\Imgares
2010-04-29 13:24 . 2008-08-21 07:25 461830 ----a-w- c:\windows\system32\perfh007.dat
2010-04-29 13:24 . 2008-08-21 07:25 86110 ----a-w- c:\windows\system32\perfc007.dat
2010-04-26 08:53 . 2009-05-08 19:52 -------- d-----w- c:\programme\Google
2010-04-25 21:22 . 2010-01-21 11:30 -------- d-----w- c:\dokumente und einstellungen\Sebi\Anwendungsdaten\vlc
2010-04-25 20:48 . 2009-12-01 12:48 -------- d-s---w- c:\programme\PTBSync
2010-04-20 14:03 . 2008-08-20 23:09 -------- d-----w- c:\programme\Microsoft.NET
2010-04-15 13:50 . 2010-03-21 15:00 2288640 ----a-w- c:\windows\system32\TUKernel.exe
2010-04-15 13:05 . 2010-03-20 13:04 -------- d-----w- c:\programme\TuneUp Utilities 2010
2010-04-11 16:47 . 2010-02-22 20:31 -------- d-----w- c:\dokumente und einstellungen\Sebi\Anwendungsdaten\dvdcss
2010-04-06 11:55 . 2010-04-06 11:55 -------- d-----w- c:\programme\CCleaner
2010-04-06 11:53 . 2010-03-29 09:37 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-04-06 11:35 . 2010-04-06 11:34 -------- d-----w- c:\dokumente und einstellungen\Sebi\Anwendungsdaten\U3
2010-03-20 20:08 . 2010-03-20 20:08 2808832 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe
2010-03-20 19:39 . 2008-08-20 23:06 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-03-20 13:05 . 2010-03-20 13:05 -------- d-----w- c:\dokumente und einstellungen\Sebi\Anwendungsdaten\TuneUp Software
2010-03-20 13:04 . 2010-03-20 13:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2010-03-20 13:01 . 2010-03-20 13:01 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-03-10 06:15 . 2008-05-09 10:54 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 16:42 . 2010-03-20 13:09 30536 ----a-w- c:\windows\system32\TURegOpt.exe
2010-02-25 16:37 . 2010-03-20 13:09 30024 ----a-w- c:\windows\system32\uxtuneup.dll
2010-02-25 06:15 . 2007-08-13 16:54 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-04-13 21:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:04 . 2008-04-13 21:00 2148864 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:04 . 2008-04-13 21:00 2027008 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-22 15:08 293376 ------w- c:\windows\system32\browserchoice.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"AzMixerSel"="c:\programme\Realtek\Audio\InstallShield\AzMixerSel.exe" [2006-07-17 53248]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-04-25 1044480]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2008-05-14 821768]
"PTBSync"="c:\programme\PTBSync\PTBSync.exe" [2010-04-25 1577984]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-06-12 00:38 34672 -c--a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PLFSetL]
2007-07-05 10:35 94208 ----a-w- c:\windows\PLFSetL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PTBSync]
2010-04-25 20:48 1577984 ----a-w- c:\programme\PTBSync\PTBSync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 13:07 2260480 --sha-r- c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"eRecoveryService"=c:\acer\Empowering Technology\eRecovery\eRAgent.exe
"IgfxTray"=c:\windows\system32\igfxtray.exe
"Persistence"=c:\windows\system32\igfxpers.exe
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"MSPY2002"=c:\windows\system32\IME\PINTLGNT\ImScInst.exe /SYNC
"PWRISOVM.EXE"=c:\programme\PowerISO\PWRISOVM.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\BitLord\\BitLord.exe"=
"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=
"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\RosettaStoneVersion3.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [08/05/2009 18:25 108289]
R2 PortTalk;PortTalk;c:\windows\system32\drivers\ptbtalk.sys [01/12/2009 15:48 3567]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [25/02/2010 19:40 1047880]
R2 WinRing0_1_2_0;WinRing0 driver;c:\windows\system32\drivers\ptbring0.sys [25/04/2010 23:48 14416]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [25/02/2010 11:18 10064]
S3 JMCR;JMCR;c:\windows\system32\drivers\jmcr.sys [08/05/2009 22:57 96856]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Sebi\Anwendungsdaten\Mozilla\Firefox\Profiles\n6t8htwu.default\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - www.google.de
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Google Desktop Search - c:\programme\Google\Google Desktop Search\GoogleDesktop.exe
MSConfigStartUp-PC Connection Agent - c:\programme\Microsoft ActiveSync\wcescomm.exe
MSConfigStartUp-mcagent_exe - c:\programme\McAfee.com\Agent\mcagent.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-13 12:03
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-05-13 12:08:40
ComboFix-quarantined-files.txt 2010-05-13 09:08

Vor Suchlauf: 13 Verzeichnis(se), 63.698.870.272 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 63.860.228.096 Bytes frei

- - End Of File - - E5AA5D29B6F0B96EBAC7376B34A2D578

ok hast mir sehr geholfen, vielen dank!!

Hab Deinen Strang übersehen...

Malwarebytes ist ok, aber niemals einfach mal so auf eigene Faust Combofix drüberlaufen lassen! Solltest Du nur nach Anweisung hier im Board tun.

ahh ok hups, wird nich nochmal gemacht! also nochma 1000 dank für deine hilfe!

ciao!