wA6mruD6.exe öffnet sich dauernd im Hintergund
 

Ich hab schon wochenlang irgendwelche Probleme mit meinem PC...mal findet Antivir plötzlich hundertmal denselben Virus in sich dauernd wieder neu erstellenden tmp-files, dann ist auf einmal die Sounderkennung deaktiviert und dann öffnen sich auch immer wieder einfach Random-browserfenster...das ist schon alles nervig genug, aber es hört auch immer wieder auf

Nun öffnet sich aber seit geraumer Zeit (so ein paar Tage) im Hintergrund die Im Titel erwähnte Datei die sich dann in den Vordergrund drückt und soweit ich das mitbekomme verucht sie auch noch den iexplorer zu öffnen (ich benutze aber Firefox btw) und darüber irgendwas zu machen...ich scanne seit ner Woche schon täglich mehrfach mein System mit Antivir und Malwarebytes und bis auf den ersten scan mit malwarebytes kam die ganze Zeit nichts ( ich hab die betreffenden Sachen beim ersten Malwarebytesscan erfolgreich entfernt bekommen und da kam auch nie wieder was hinterher die ganze Woche).

Dieses komische Programm wA6mruD6.exe lässt sich auch nirgendwo finden mit der Suche und ich weiß derzeit keinen rat mehr...das einzige was ich derzeit machen kann ist das Programm im Taskmanager immer wieder zu beenden.

Ich hoffe, dass mir hier jemand helfen kann

Guten Morgen,
poste mal bitte das Logfile von Avira & Malwarebytes, damit wir sehen um welchen Virus es sich da halten soll.

Wo befindet sich die Datei "wA6mruD6.exe" ?

Dir auch einen guten Morgen.
du hast dir anscheinend meine Schilderung nicht wirklich durchgelesen...
die datei wird weder von antivir noch von Malwarebytes erkannt...also auch kein Logfile in dem irgendetwas gefundenes gelistet ist.
Und wo sich die Datei zum Prozess wA6mruD6.exe befindet weiß ich wie erwähnt auch nicht, da die Suche nix ergibt...
Ich hoffe es findet sich jemand, der mir ne Vorgehensweise vorgeben kann, was ich denn da jetzt am besten mache als erstes. Ich poste auch gern die leeren Logfiles von antivir und Malwarebytes wenn ausdrücklich gewünscht.

Hallo Tror,
Das meinte ich! Vielleicht haben die Dateien etwas miteinander zu tun.

Mach bitte mal alle Dateien sichtbar --> http://www.trojaner-board.de/59624-a...-sichtbar.html
Findest du jetzt die Datei? Wenn ja, genauer Pfad angeben und bei http://www.virustotal.com/ hochladen - Ergebnis hier hinein posten.

Danach bitte ein RSIT auführen und Logfile/Ergebnis hier hinein posten

Danach bitte GMER --> http://www.trojaner-board.de/74908-a...t-scanner.html

Das mit den Dateien sichtbar machen mach ich schon immer mit bei jedem neu aufsetzen, also ist das alles so eingestellt wie du das wolltest von vornherein bei mir und finden tut sich da wie gesagt leider nix.


Hier mein RSIT-Log:


Gmer folgt gleich. Ich bin aber erst morgen Abend wieder am PC, also kann ich da dann auch erst weitere Schritte einleiten

Hey,
Okay dann noch GMER.

Siehst du denn die Datei
"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wA6MruD6.exe"
und kannst die zu http://www.virustotal.com/de/ hochladen wenn du den Pfad eingibst?

Lade bitte folgende Datei zu http://www.virustotal.com/de/ hoch
C:\WINDOWS\SYSTEM32\opaqcx.dll

Bis morgen dann
Kiyoshi

so hier erstmal GMER:


ja die Datei find ich genau wo du gesagt hast...aber die Windows-suche gab mir jedesmal kein Ergebnis...
Hab sie auch gleich bei virustotal scannen lassen, weiß aber grad nicht was davon ich dann hier posten soll also füg ich einfach mal alles ein:

Datei wA6MruD6.exe empfangen 2010.05.15 09:06:56 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 5/41 (12.2%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.15.00 2010.05.14 -
AntiVir 8.2.1.242 2010.05.14 -
Antiy-AVL 2.0.3.7 2010.05.14 -
Authentium 5.2.0.5 2010.05.14 -
Avast 4.8.1351.0 2010.05.14 -
Avast5 5.0.332.0 2010.05.14 -
AVG 9.0.0.787 2010.05.14 -
BitDefender 7.2 2010.05.15 -
CAT-QuickHeal 10.00 2010.05.15 -
ClamAV 0.96.0.3-git 2010.05.15 -
Comodo 4844 2010.05.15 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.15 -
eSafe 7.0.17.0 2010.05.13 -
eTrust-Vet 35.2.7490 2010.05.15 -
F-Prot 4.5.1.85 2010.05.14 -
F-Secure 9.0.15370.0 2010.05.14 -
Fortinet 4.1.133.0 2010.05.15 -
GData 21 2010.05.15 -
Ikarus T3.1.1.84.0 2010.05.15 -
Jiangmin 13.0.900 2010.05.14 -
Kaspersky 7.0.0.125 2010.05.15 -
McAfee 5.400.0.1158 2010.05.15 -
McAfee-GW-Edition 2010.1 2010.05.15 Artemis!BF00603D9A6A
Microsoft 1.5703 2010.05.14 -
NOD32 5115 2010.05.14 -
Norman 6.04.12 2010.05.15 W32/Malware.MNDM
nProtect 2010-05-15.01 2010.05.15 -
Panda 10.0.2.7 2010.05.14 Trj/Sinowal.XAW
PCTools 7.0.3.5 2010.05.15 -
Prevx 3.0 2010.05.15 -
Rising 22.47.04.03 2010.05.14 -
Sophos 4.53.0 2010.05.15 -
Sunbelt 6304 2010.05.15 -
Symantec 20101.1.0.89 2010.05.15 -
TheHacker 6.5.2.0.280 2010.05.14 -
TrendMicro 9.120.0.1004 2010.05.15 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.15 -
VBA32 3.12.12.5 2010.05.14 SScope.Injector.MY
ViRobot 2010.5.15.2317 2010.05.15 -
VirusBuster 5.0.27.0 2010.05.14 -
weitere Informationen
File size: 69122 bytes
MD5...: bf00603d9a6ac9b444360b2b86564f4f
SHA1..: 748c69cda6f372e1913bd5697544f0acfadf8693
SHA256: 899a7f856b682a82579021fab1c10e7e2615b6cea92c3eb9c9577ea4b65b4e01
ssdeep: 1536:kjY1rpo4CasLqJIl56FMraQ9iCjlgGnaSB:gA95Il564NialgGaSB
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3330
timedatestamp.....: 0x4bea6be5 (Wed May 12 08:50:45 2010)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2370 0x2400 6.06 7480b9bdd621e7136a73fadc8e920da0
.rdata 0x4000 0x110 0x200 2.51 b1b09bc40aae4e5c9643343d04d5cdbf
.data 0x5000 0xe2bc 0xe200 7.94 b67ecbb59e19f01f62b57c543cd068db
.rsrc 0x14000 0x10 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b

( 2 imports )
> KERNEL32.dll: HeapAlloc, GetProcessHeap, ExitProcess, GetProcAddress, GetModuleHandleA
> USER32.dll: GetScrollInfo, GetClientRect

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


so nun dasselbe noch mit der opaqcx.dll:

Datei opaqcx.dll empfangen 2010.05.15 09:11:46 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/41 (7.32%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.15.00 2010.05.14 Trojan/Win32.CSon
AntiVir 8.2.1.242 2010.05.14 -
Antiy-AVL 2.0.3.7 2010.05.14 -
Authentium 5.2.0.5 2010.05.14 -
Avast 4.8.1351.0 2010.05.14 -
Avast5 5.0.332.0 2010.05.14 -
AVG 9.0.0.787 2010.05.14 -
BitDefender 7.2 2010.05.15 -
CAT-QuickHeal 10.00 2010.05.15 -
ClamAV 0.96.0.3-git 2010.05.15 -
Comodo 4844 2010.05.15 -
DrWeb 5.0.2.03300 2010.05.15 -
eSafe 7.0.17.0 2010.05.13 -
eTrust-Vet 35.2.7490 2010.05.15 -
F-Prot 4.5.1.85 2010.05.14 -
F-Secure 9.0.15370.0 2010.05.14 -
Fortinet 4.1.133.0 2010.05.15 -
GData 21 2010.05.15 -
Ikarus T3.1.1.84.0 2010.05.15 -
Jiangmin 13.0.900 2010.05.14 -
Kaspersky 7.0.0.125 2010.05.15 -
McAfee 5.400.0.1158 2010.05.15 -
McAfee-GW-Edition 2010.1 2010.05.15 -
Microsoft 1.5703 2010.05.14 -
NOD32 5115 2010.05.14 -
Norman 6.04.12 2010.05.15 -
nProtect 2010-05-15.01 2010.05.15 -
Panda 10.0.2.7 2010.05.14 Suspicious file
PCTools 7.0.3.5 2010.05.15 -
Prevx 3.0 2010.05.15 -
Rising 22.47.04.03 2010.05.14 -
Sophos 4.53.0 2010.05.15 -
Sunbelt 6304 2010.05.15 -
Symantec 20101.1.0.89 2010.05.15 -
TheHacker 6.5.2.0.280 2010.05.14 -
TrendMicro 9.120.0.1004 2010.05.15 PAK_Generic.012
TrendMicro-HouseCall 9.120.0.1004 2010.05.15 -
VBA32 3.12.12.5 2010.05.14 -
ViRobot 2010.5.15.2317 2010.05.15 -
VirusBuster 5.0.27.0 2010.05.14 -
weitere Informationen
File size: 22016 bytes
MD5...: c03e565180e93c4c64a00041b86032ae
SHA1..: 8c6dcd8fa68f976e874b031885e9bb52b50c31c6
SHA256: 3772af0727fd8bd343f45c3814330d1ce6a21494286496a8898a1f6036d0d6d1
ssdeep: 192:eZGogHT93UAinLxb2qhJ/7k8EDfxwSSSrzAnike1KDd:eZxAcdb2qhJ/7XED
ZiSAfe1KD
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x4bebf1a3 (Thu May 13 12:33:39 2010)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xdd0 0xe00 5.76 2229f696d20d3af6f5abc55dffac6656
.rdata 0x2000 0x2b70 0x2c00 5.15 66306151aff2732255694a1c14546947
.data 0x5000 0xfa 0x200 2.12 2c02fb6033a443a08a0df02337afcef6
.rsrc 0x6000 0x13c8 0x1400 2.57 c085acf9b947c53a5235cade8ccd7c9b
.reloc 0x8000 0x6000 0x200 1.57 880ac363bffe0a05c60887ec439d9b22

( 2 imports )
> KERNEL32.dll: ExitProcess, VirtualProtect, LoadLibraryA, GetProcAddress, VirtualAlloc
> SHLWAPI.dll: ColorAdjustLuma

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (38.3%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Ich hoffe das gibt dir erstmal genug zum arbeiten, damit ich morgen gleich weiter ran kann ;)
Danke schonmal für die tolle Hilfe und bis morgen

Kein Problem ;) - Bis morgen!

Tu dann bitte folgendes:
Sende bitte folgende Dateien über das Formular an Avira:
Dazu öffne folgende Seite und lade beie Dateien hoch als "Verdächtigte Datei"
http://analysis.avira.com/samples/index.php

GMER:
Hast zwei Rootkit. Melde mich später wieder

Hallo,

Das ist TDL eine neuere Version. Der lässt sich schlecht entfernen. Ich würde dir ein neuaufsetzen anraten.

Falls du weiterhin bereinigen möchtest tue folgendes:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Angel21 hat sich dazu gemeldet ;) - sieht jedoch nicht gut aus :(

Guten Morgen und danke für die weitere Hilfe (obwohl ich über die schlechten Neuigkeiten nicht wirklich glücklich bin, da ich beim Terminus "neu aufsetzen" mitlerweile nen Ausschlag krieg :( )
Ich hab die beiden Dateien zu Avira geschickt und werde jetzt euren weiteren Anweisungen mit OTL folge leisten ums wenigstens zu probieren ohne neu aufsetzen davon zu kommen.
Ich melde mich danach wieder.

Edit: die beiden logs kommen jetzt

OTL.txt:

OTL logfile created on: 17.05.2010 09:47:23 - Run 1
OTL by OldTimer - Version 3.2.4.1 Folder = C:\Dokumente und Einstellungen\Tror\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 77,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 76,32 Gb Total Space | 66,85 Gb Free Space | 87,59% Space Free | Partition Type: NTFS
Drive D: | 465,76 Gb Total Space | 91,41 Gb Free Space | 19,63% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: BKB
Current User Name: Tror
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan

========== Processes (SafeList) ==========

PRC - [2010.05.17 09:41:39 | 000,571,392 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Tror\Desktop\OTL.exe
PRC - [2010.05.13 20:42:31 | 000,036,868 | ---- | M] () -- C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
PRC - [2010.04.28 12:20:36 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- D:\Tools\Java\bin\jqs.exe
PRC - [2010.04.01 13:33:15 | 000,267,432 | ---- | M] (Avira GmbH) -- D:\Tools\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.03.02 11:28:23 | 000,282,792 | ---- | M] (Avira GmbH) -- D:\Tools\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) -- D:\Tools\Avira\AntiVir Desktop\sched.exe
PRC - [2010.02.18 11:43:18 | 000,248,040 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched .exe
PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- D:\Tools\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.01.09 21:14:48 | 007,418,368 | ---- | M] (OpenOffice.org) -- D:\Tools\Open Office 3\OpenOffice.org 3\program\soffice.bin
PRC - [2009.01.09 21:14:42 | 007,424,000 | ---- | M] (OpenOffice.org) -- D:\Tools\Open Office 3\OpenOffice.org 3\program\soffice.exe
PRC - [2008.11.20 14:20:54 | 000,290,088 | ---- | M] (Apple Inc.) -- D:\Tools\iTunes\iTunesHelper .exe
PRC - [2008.11.07 15:28:16 | 000,132,424 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
PRC - [2008.04.14 08:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.05.01 04:07:44 | 000,843,776 | R--- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\Core\smax4pnp .exe
PRC - [2006.04.10 10:19:46 | 000,729,088 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\Smax4 .exe
PRC - [2006.02.09 20:15:42 | 000,106,551 | ---- | M] (Hauppauge Computer Works) -- D:\Tools\WinTV\Ir.exe
PRC - [2005.01.07 18:30:56 | 000,864,256 | ---- | M] (Brother Industries, Ltd.) -- C:\Programme\Brother\ControlCenter2\brctrcen.exe


========== Modules (SafeList) ==========

MOD - [2010.05.17 09:41:39 | 000,571,392 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Tror\Desktop\OTL.exe
MOD - [2008.04.14 08:51:08 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx


========== Win32 Services (SafeList) ==========

SRV - [2010.04.28 12:20:36 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) [Auto | Running] -- D:\Tools\Java\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2010.04.01 13:33:15 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- D:\Tools\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- D:\Tools\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.11.07 15:28:16 | 000,132,424 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)


========== Driver Services (SafeList) ==========

DRV - [2010.05.14 02:57:33 | 000,154,112 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\dmio.sys -- (dmio)
DRV - [2010.03.21 22:27:36 | 000,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2010.03.01 10:05:19 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.02.16 14:24:01 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.01.12 06:03:33 | 010,276,768 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.13 13:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- D:\Tools\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.04.13 23:06:06 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2006.05.02 11:12:40 | 000,229,888 | R--- | M] (Analog Devices, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ADIHdAud.sys -- (ADIHdAudAddService)
DRV - [2006.04.24 11:52:28 | 000,100,736 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\nvata.sys -- (nvata)
DRV - [2006.04.13 22:47:36 | 000,168,064 | R--- | M] (Hauppauge Computer Works, Inc.) [23|25|26]xxx) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hcwPP2.sys -- (hcwPP2)
DRV - [2006.03.22 08:24:02 | 000,018,944 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2006.03.22 08:24:00 | 000,052,736 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2006.03.17 12:18:58 | 000,392,960 | R--- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (SenFiltService)
DRV - [2005.03.09 16:53:00 | 000,043,008 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2005.03.04 05:10:26 | 000,074,496 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtlnicxp.sys -- (RTL8023xp)
DRV - [2004.10.15 13:50:20 | 000,015,295 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrScnUsb.sys -- (BrScnUsb)
DRV - [2004.08.13 04:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

========== FireFox ==========

FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:3.3.0.3971

FF - HKLM\software\mozilla\Firefox\extensions\\jqs@sun.com: D:\Tools\Java\lib\deploy\jqs\ff [2010.04.28 12:20:37 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: D:\Tools\Mozilla Firefox\components [2010.05.10 05:02:23 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: D:\Tools\Mozilla Firefox\plugins [2010.05.05 17:52:48 | 000,000,000 | ---D | M]

[2010.03.16 16:31:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Extensions
[2010.03.16 16:31:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\2b502jvp.default\extensions
[2010.05.17 09:44:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\lwsr0sx8.default\extensions
[2010.03.16 16:31:58 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\lwsr0sx8.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.03.16 16:31:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\lwsr0sx8.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010.05.04 23:43:08 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\lwsr0sx8.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.04.29 21:02:11 | 000,000,000 | ---D | M] (Greasemonkey) -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\lwsr0sx8.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
[2010.05.04 23:48:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\lwsr0sx8.default\extensions\video.downloader.plugin@ffpimp.com
[2010.03.16 16:31:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\o615735r.default\extensions

O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Tools\Java\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Tools\Java\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe ()
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] D:\Tools\Acrobat Reader\Reader\Reader_sl.exe ()
O4 - HKLM..\Run: [avgnt] D:\Tools\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe ()
O4 - HKLM..\Run: [Malwarebytes Anti-Malware (reboot)] D:\Tools\Malwarebytes' Anti-Malware\mbam.exe File not found
O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] File not found
O4 - HKLM..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe ()
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask .exe (Apple Inc.)
O4 - HKLM..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe ()
O4 - HKLM..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4 .exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe ()
O4 - HKCU..\Run: [Steam] D:\Games\Steam\Steam.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoStart IR.lnk = D:\Tools\WinTV\Ir.exe (Hauppauge Computer Works)
O4 - Startup: C:\Dokumente und Einstellungen\Tror\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk = D:\Tools\Open Office 3\OpenOffice.org 3\program\quickstart.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Tools\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Tools\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\opaqcx: DllName - opaqcx.dll - C:\WINDOWS\System32\opaqcx.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.03.16 15:41:22 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: 6to4 - File not found
NetSvcs: Ias - C:\WINDOWS\system32\ias [2010.03.16 16:04:21 | 000,000,000 | ---D | M]
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found
NetSvcs: SSHNAS - File not found

CREATERESTOREPOINT
Restore point Set: OTL Restore Point (17183584330711040)

========== Files/Folders - Created Within 90 Days ==========

[2010.05.17 09:41:39 | 000,571,392 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Tror\Desktop\OTL.exe
[2010.05.14 01:14:57 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\GroupPolicy
[2010.05.13 23:42:26 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2010.05.13 23:37:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Malwarebytes
[2010.05.10 17:52:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
[2010.05.10 17:52:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun
[2010.05.10 17:52:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
[2010.05.10 17:48:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\TrackMania
[2010.05.10 17:48:20 | 000,000,000 | ---D | C] -- C:\WINDOWS\Temp
[2010.05.05 17:52:04 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe
[2010.05.04 23:46:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\dwhelper
[2010.04.28 12:20:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.04.28 12:19:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\Downloads
[2010.04.25 18:50:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\PreInstall
[2010.04.25 01:27:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\SoftwareDistribution
[2010.04.24 00:45:30 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.04.24 00:44:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Avira
[2010.04.23 18:08:14 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.04.23 18:08:14 | 000,000,000 | ---D | C] -- C:\rsit
[2010.04.23 12:16:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2010.04.20 00:24:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2010.04.20 00:24:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.04.15 17:22:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\OpenOffice.org
[2010.04.13 19:24:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\ICQ
[2010.04.13 19:23:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\teamspeak2
[2010.04.10 02:48:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\DivX
[2010.04.01 22:25:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\Test Drive Unlimited
[2010.04.01 22:24:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited
[2010.03.31 17:53:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\Total Overdose
[2010.03.30 16:12:52 | 000,000,000 | ---D | C] -- C:\WINDOWS\Sun
[2010.03.30 13:09:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\dvdcss
[2010.03.30 10:06:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\vlc
[2010.03.22 04:02:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\SH4
[2010.03.21 22:40:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\InstallShield
[2010.03.21 22:27:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\DAEMON Tools
[2010.03.21 21:12:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\Alcohol 120%
[2010.03.21 04:11:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\WinRAR
[2010.03.16 17:23:54 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\IviSDK
[2010.03.16 17:22:57 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.03.16 17:08:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Lokale Einstellungen\Anwendungsdaten\Adobe
[2010.03.16 17:00:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Macromedia
[2010.03.16 17:00:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Adobe
[2010.03.16 16:59:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch
[2010.03.16 16:52:50 | 000,000,000 | ---D | C] -- C:\WINDOWS\Logs
[2010.03.16 16:49:58 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de-de
[2010.03.16 16:49:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\l2schemas
[2010.03.16 16:49:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de
[2010.03.16 16:49:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\bits
[2010.03.16 16:49:27 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Tror\Recent
[2010.03.16 16:48:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\ServicePackFiles
[2010.03.16 16:46:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\network diagnostic
[2010.03.16 16:45:08 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$NtServicePackUninstall$
[2010.03.16 16:41:11 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.03.16 16:41:10 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.03.16 16:41:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Sun
[2010.03.16 16:40:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Apple Computer
[2010.03.16 16:39:38 | 000,000,000 | ---D | C] -- C:\Programme\iPod
[2010.03.16 16:39:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[2010.03.16 16:39:29 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour
[2010.03.16 16:39:12 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2010.03.16 16:39:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
[2010.03.16 16:39:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Lokale Einstellungen\Anwendungsdaten\Apple
[2010.03.16 16:39:05 | 000,000,000 | ---D | C] -- C:\Programme\Apple Software Update
[2010.03.16 16:39:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\DRVSTORE
[2010.03.16 16:38:47 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Apple
[2010.03.16 16:38:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
[2010.03.16 16:37:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Lokale Einstellungen\Anwendungsdaten\Apple Computer
[2010.03.16 16:35:16 | 000,286,720 | ---- | C] (Zilog) -- C:\WINDOWS\System32\hcwzblast.dll
[2010.03.16 16:35:16 | 000,081,983 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwblast.ocx
[2010.03.16 16:35:16 | 000,073,792 | ---- | C] (Hauppauge Computer Works, Inc) -- C:\WINDOWS\System32\ChSuite.ocx
[2010.03.16 16:35:16 | 000,065,603 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwIRblast.dll
[2010.03.16 16:35:16 | 000,040,960 | ---- | C] (Hauppauge Computer Works, Inc) -- C:\WINDOWS\System32\GButton.ocx
[2010.03.16 16:33:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
[2010.03.16 16:31:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2010.03.16 16:31:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla
[2010.03.16 16:29:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Malwarebytes
[2010.03.16 16:29:28 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.03.16 16:29:22 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.03.16 16:29:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.03.16 16:27:49 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.03.16 16:27:49 | 000,051,992 | ---- | C] (AVIRA GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.03.16 16:27:49 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2010.03.16 16:27:49 | 000,017,016 | ---- | C] (AVIRA GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.03.16 16:27:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2010.03.16 16:16:04 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$MSI31Uninstall_KB893803v2$
[2010.03.16 16:15:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
[2010.03.16 16:15:19 | 000,000,000 | ---D | C] -- C:\Programme\NVIDIA Corporation
[2010.03.16 16:14:57 | 000,061,440 | ---- | C] (Khronos Group) -- C:\WINDOWS\System32\OpenCL.dll
[2010.03.16 16:14:52 | 000,000,000 | ---D | C] -- C:\NVIDIA
[2010.03.16 16:14:01 | 000,074,496 | R--- | C] (Realtek Semiconductor Corporation ) -- C:\WINDOWS\System32\drivers\Rtlnicxp.sys
[2010.03.16 16:09:04 | 000,319,488 | R--- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwECP.ax
[2010.03.16 16:09:03 | 000,253,952 | R--- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwCCnv2.ax
[2010.03.16 16:09:02 | 000,274,432 | R--- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwPrxA2.ax
[2010.03.16 16:09:01 | 000,168,064 | R--- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\drivers\hcwPP2.sys
[2010.03.16 16:07:43 | 000,188,416 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwUtl32.dll
[2010.03.16 16:07:43 | 000,186,880 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwCConv.ax
[2010.03.16 16:07:43 | 000,090,190 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\Bt848WST.DLL
[2010.03.16 16:07:43 | 000,069,632 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwPP2PP.ocx
[2010.03.16 16:07:43 | 000,065,536 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwDlg.ocx
[2010.03.16 16:07:43 | 000,061,440 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwPrxP2.ax
[2010.03.16 16:07:43 | 000,000,000 | ---D | C] -- C:\MyVideos
[2010.03.16 16:07:42 | 000,639,049 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwtvwnd.dll
[2010.03.16 16:07:42 | 000,229,432 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwpnp32.dll
[2010.03.16 16:07:42 | 000,213,050 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\Hcwchan.dll
[2010.03.16 16:07:42 | 000,192,571 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwav.dll
[2010.03.16 16:07:42 | 000,139,329 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwaud32.dll
[2010.03.16 16:07:42 | 000,106,559 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwTVDlg.dll
[2010.03.16 16:07:42 | 000,094,264 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwi2c32.dll
[2010.03.16 16:07:42 | 000,081,920 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwSplit.ax
[2010.03.16 16:07:42 | 000,081,920 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwNull.ax
[2010.03.16 16:07:42 | 000,073,728 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwSnap.ax
[2010.03.16 16:07:42 | 000,073,728 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwFRead.ax
[2010.03.16 16:07:42 | 000,061,440 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\Hcwtuner.dll
[2010.03.16 16:07:42 | 000,057,344 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwFWrit.ax
[2010.03.16 16:07:42 | 000,011,264 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwhook.dll
[2010.03.16 16:07:41 | 000,393,216 | ---- | C] (Snowbound Software Corporation (www.Snowbnd.com)) -- C:\WINDOWS\System32\hcwsnbd9.dll
[2010.03.16 16:07:41 | 000,000,000 | ---D | C] -- C:\Programme\WinTV
[2010.03.16 16:03:41 | 000,000,000 | R-SD | C] -- C:\WINDOWS\Fonts
[2010.03.16 16:03:41 | 000,000,000 | RHSD | C] -- C:\WINDOWS\System32\dllcache
[2010.03.16 16:03:41 | 000,000,000 | R--D | C] -- C:\WINDOWS\Web
[2010.03.16 16:03:41 | 000,000,000 | -H-D | C] -- C:\WINDOWS\inf
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\WinSxS
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\wins
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\wbem
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\usmt
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\twain_32
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\system32
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\system
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\spool
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ShellExt
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Setup
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\security
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Resources
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\repair
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ras
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Provisioning
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\PeerNet
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\pchealth
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\oobe
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\npp
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\mui
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\mui
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\msapps
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\msagent
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Media
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\java
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\inetsrv
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\IME
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\ime
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\icsxml
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ias
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Help
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\export
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\etc
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\ehome
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Driver Cache
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\disdn
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\dhcp
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Debug
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Cursors
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Connection Wizard
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\config
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Config
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\AppPatch
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\addins
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1033
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1031
[2010.03.16 15:57:43 | 000,120,832 | ---- | C] (Brother Industries, Ltd.) -- C:\WINDOWS\System32\BrWia04b.dll
[2010.03.16 15:57:43 | 000,037,888 | ---- | C] (Brother Industries, Ltd.) -- C:\WINDOWS\System32\BrUSi04b.dll
[2010.03.16 15:57:43 | 000,015,295 | ---- | C] (Brother Industries Ltd.) -- C:\WINDOWS\System32\drivers\BrScnUsb.sys
[2010.03.16 15:57:42 | 000,054,272 | ---- | C] (Brother Industries,Ltd.) -- C:\WINDOWS\System32\brinsstr.dll
[2010.03.16 15:57:39 | 000,073,728 | ---- | C] (Brother Industries Ltd) -- C:\WINDOWS\System32\brrbtool.exe
[2010.03.16 15:57:39 | 000,024,223 | ---- | C] (brother Industries Ltd) -- C:\WINDOWS\System32\brlm03a.dll
[2010.03.16 15:57:37 | 000,188,416 | ---- | C] (brother) -- C:\WINDOWS\System32\PDRVINST.DLL
[2010.03.16 15:57:37 | 000,081,920 | ---- | C] (brother) -- C:\WINDOWS\System32\BrWebIns.dll
[2010.03.16 15:57:37 | 000,065,536 | ---- | C] (brother) -- C:\WINDOWS\System32\BRWEBUP.EXE
[2010.03.16 15:57:37 | 000,000,000 | ---D | C] -- C:\Programme\Common Files
[2010.03.16 15:57:37 | 000,000,000 | ---D | C] -- C:\Programme\Brother
[2010.03.16 15:57:35 | 000,000,000 | ---D | C] -- C:\Brother
[2010.03.16 15:57:34 | 000,147,456 | ---- | C] (Brother Industries,Ltd.) -- C:\WINDOWS\brunin03.dll
[2010.03.16 15:56:26 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\ScanSoft Shared
[2010.03.16 15:56:25 | 000,000,000 | ---D | C] -- C:\Programme\ScanSoft
[2010.03.16 15:56:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2010.03.16 15:55:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother
[2010.03.16 15:53:12 | 000,392,960 | R--- | C] (Sensaura) -- C:\WINDOWS\System32\drivers\senfilt.sys
[2010.03.16 15:53:06 | 000,053,248 | ---- | C] (Analog Devices Inc.) -- C:\WINDOWS\System32\wdmioctl.dll
[2010.03.16 15:53:05 | 001,285,632 | ---- | C] (Analog Devices) -- C:\WINDOWS\System32\SMMedia.dll
[2010.03.16 15:53:03 | 000,049,152 | ---- | C] (Analog Devices Inc.) -- C:\WINDOWS\System32\DSndUp.exe
[2010.03.16 15:53:03 | 000,000,000 | ---D | C] -- C:\Programme\Analog Devices
[2010.03.16 15:53:02 | 000,045,056 | ---- | C] (adi) -- C:\WINDOWS\System32\CleanUp.exe
[2010.03.16 15:51:17 | 000,000,000 | -H-D | C] -- C:\Programme\InstallShield Installation Information
[2010.03.16 15:51:17 | 000,000,000 | ---D | C] -- C:\Programme\AMD
[2010.03.16 15:50:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ReinstallBackups
[2010.03.16 15:50:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\NV1324504.TMP
[2010.03.16 15:49:52 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\InstallShield
[2010.03.16 15:49:49 | 000,486,400 | R--- | C] (ASUS) -- C:\WINDOWS\System32\AsusSetup.exe
[2010.03.16 15:49:16 | 000,000,000 | ---D | C] -- C:\WINDOWS\ASUSInstAll
[2010.03.16 15:44:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Identities
[2010.03.16 15:44:52 | 000,000,000 | -H-D | C] -- C:\Programme\Uninstall Information
[2010.03.16 15:44:50 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\Eigene Musik
[2010.03.16 15:44:50 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien
[2010.03.16 15:44:50 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\Eigene Bilder
[2010.03.16 15:44:46 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Tror\Anwendung

jetzt kann ich hier nicht mal mehr antworten, weil er mich den Post mit den Logs nicht vollständig absenden lässt :(
Ich probiers nochmal, also sorry für Doppelpost teilweise gleich falls es denn klappt....wenn nicht, bleibt mir noch was anderes als neu aufsetzen übrig?

Schaun mer mal erstmal in Ruhe über das ganze. Ich melde mich wenn die Logs vollständig sind später noch einmal.

leider lässt er mich die logs nicht vollständig posten egal ob ichs nur mit der OTL.txt oder der Extra.txt probier...jedesmal bricht er die Sendung ab...

Willst du die Logs hochladen, oder passiert das bei "Antworten" in deinen Thread hinein?

so die Extras.txt mal mit anhängen versucht

und die OTL.txt weil zu groß als zip...so scheints doch zu klappen

so ich bin dann erstmal 2 Stunden weg, und hoffe es lässt sich ne Lösung ohne neu aufsetzen irgendwie finden *finger kreuz*

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.



ComboFix
*
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!
*
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
*
Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
*
[HTML][/HTML)[/QUOTE]

Hinweis: Diese Anleitung ist nur für den Einen User in der Einen Situation erstellt worden. Bitte nicht auf anderen PCs so ausführen, da die Bereinigungen variieren.

Wenn das Combofix Log da ist melde ich mich mit weiteren Schritten.

Wenn es im falle bei Combofix zu problemen kommen sollte bitte nicht weiter ausführen, sondern abbrechen und das Problem bitte genaustens Schildern.

#ComboFix 10-05-16.02 - Tror 17.05.2010 13:05:41.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1639 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Tror\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\wA6MruD6.exe
c:\programme\Analog Devices\SoundMAX\Smax4 .exe
c:\programme\Brother\Brmfl04g\BrStDvPt.exe
c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdupdate.exe
c:\programme\QuickTime\qttask .exe
c:\programme\QuickTime\qttask.exe
c:\programme\ScanSoft\PaperPort\IndexSearch.exe
c:\programme\ScanSoft\PaperPort\pptd40nt.exe
c:\windows\system32\Vb40032.dll
d:\games\Steam\Steam.exe
D:\install.exe
d:\tools\Acrobat Reader\Reader\Reader_sl.exe
d:\tools\iTunes\iTunesHelper.exe

.
Infizierte Kopie von c:\windows\system32\drivers\dmio.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-04-17 bis 2010-05-17 ))))))))))))))))))))))))))))))
.

2010-05-13 23:14 . 2010-05-13 23:14 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-05-13 23:10 . 2010-05-13 23:10 22016 ----a-w- c:\windows\system32\opaqcx.dll
2010-05-13 21:42 . 2010-05-13 21:42 -------- d--h--w- c:\windows\PIF
2010-05-13 21:37 . 2010-05-13 21:37 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Malwarebytes
2010-05-10 15:52 . 2010-05-10 15:53 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-05-10 15:52 . 2010-05-10 16:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania
2010-05-10 15:50 . 2010-05-10 15:50 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten
2010-05-05 15:52 . 2010-05-05 15:52 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-05-04 21:46 . 2010-05-04 21:46 -------- d-----w- c:\dokumente und einstellungen\Tror\dwhelper
2010-04-28 12:16 . 2010-04-28 12:16 -------- d-s---w- c:\dokumente und einstellungen\LocalService\UserData
2010-04-28 12:03 . 2010-04-30 03:59 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-04-28 10:20 . 2010-04-28 10:20 503808 ----a-w- c:\dokumente und einstellungen\Tror\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5a8de208-n\msvcp71.dll
2010-04-28 10:20 . 2010-04-28 10:20 499712 ----a-w- c:\dokumente und einstellungen\Tror\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5a8de208-n\jmc.dll
2010-04-28 10:20 . 2010-04-28 10:20 348160 ----a-w- c:\dokumente und einstellungen\Tror\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5a8de208-n\msvcr71.dll
2010-04-28 10:20 . 2010-04-28 10:20 61440 ----a-w- c:\dokumente und einstellungen\Tror\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3762b8ef-n\decora-sse.dll
2010-04-28 10:20 . 2010-04-28 10:20 12800 ----a-w- c:\dokumente und einstellungen\Tror\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3762b8ef-n\decora-d3d.dll
2010-04-28 10:20 . 2010-04-28 10:20 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-23 22:45 . 2010-05-17 07:49 -------- d-----w- c:\windows\system32\NtmsData
2010-04-23 22:44 . 2010-04-23 22:44 -------- d-----w- c:\dokumente und einstellungen\Tror\Anwendungsdaten\Avira
2010-04-23 16:08 . 2010-05-15 08:23 -------- d-----w- c:\programme\trend micro
2010-04-23 16:08 . 2010-04-23 16:08 -------- d-----w- C:\rsit
2010-04-19 22:23 . 2010-04-19 22:23 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-17 11:10 . 2010-03-16 14:39 -------- d-----w- c:\programme\QuickTime
2010-05-17 10:18 . 2010-05-13 18:45 112 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RUn4J5hx.dat
2010-05-14 05:07 . 2010-03-30 08:06 -------- d-----w- c:\dokumente und einstellungen\Tror\Anwendungsdaten\vlc
2010-05-14 01:02 . 2010-03-18 03:52 39352 ----a-w- c:\dokumente und einstellungen\Tror\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-04-29 13:39 . 2010-03-16 14:29 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-03-16 14:29 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 10:20 . 2010-03-16 14:41 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-04-26 14:39 . 2010-04-01 20:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited
2010-04-20 21:21 . 2010-04-15 15:22 1 ----a-w- c:\dokumente und einstellungen\Tror\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-15 15:22 . 2010-04-15 15:22 -------- d-----w- c:\dokumente und einstellungen\Tror\Anwendungsdaten\OpenOffice.org
2010-04-13 17:25 . 2010-04-13 17:24 -------- d-----w- c:\dokumente und einstellungen\Tror\Anwendungsdaten\ICQ
2010-04-13 17:25 . 2010-03-16 13:51 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-04-13 17:23 . 2010-04-13 17:23 -------- d-----w- c:\dokumente und einstellungen\Tror\Anwendungsdaten\teamspeak2
2010-04-10 00:48 . 2010-04-10 00:48 -------- d-----w- c:\dokumente und einstellungen\Tror\Anwendungsdaten\DivX
2010-04-01 20:18 . 2010-04-01 20:18 49152 ----a-r- c:\dokumente und einstellungen\Tror\Anwendungsdaten\Microsoft\Installer\{C37A0BC1-52EE-4F97-8223-5CA9FC0357B0}\ARPPRODUCTICON.exe
2010-03-31 15:40 . 2010-03-31 15:40 5632 ----a-r- c:\dokumente und einstellungen\Tror\Anwendungsdaten\Microsoft\Installer\{051E7B99-6D35-4905-BAF3-740893EF657A}\Icon051E7B992.exe
2010-03-31 15:40 . 2010-03-31 15:40 4608 ----a-r- c:\dokumente und einstellungen\Tror\Anwendungsdaten\Microsoft\Installer\{051E7B99-6D35-4905-BAF3-740893EF657A}\Icon051E7B993.exe
2010-03-30 11:09 . 2010-03-30 11:09 -------- d-----w- c:\dokumente und einstellungen\Tror\Anwendungsdaten\dvdcss
2010-03-28 16:21 . 2006-02-28 12:00 48156 ----a-w- c:\windows\system32\perfc007.dat
2010-03-28 16:21 . 2006-02-28 12:00 316594 ----a-w- c:\windows\system32\perfh007.dat
2010-03-21 20:40 . 2010-03-21 20:40 -------- d-----w- c:\dokumente und einstellungen\Tror\Anwendungsdaten\InstallShield
2010-03-21 20:27 . 2010-03-21 20:27 717296 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-03-21 20:27 . 2010-03-21 20:27 -------- d-----w- c:\dokumente und einstellungen\Tror\Anwendungsdaten\DAEMON Tools
2010-03-16 14:52 . 2010-03-16 13:40 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-03-16 14:31 . 2010-03-16 14:31 0 ----a-w- c:\windows\nsreg.dat
2010-03-16 14:23 . 2010-03-16 13:55 57 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Brother\BrLog\BrCollectDir\BR_cat.bat
2010-03-16 14:01 . 2010-03-16 13:57 65 ----a-w- c:\windows\system32\BD7010.dat
2010-03-16 13:38 . 2010-03-16 13:38 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2010-03-01 08:05 . 2010-03-16 14:27 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-02-16 12:24 . 2009-09-22 23:42 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="d:\games\Steam\Steam.exe" [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\programme\QuickTime\qttask .exe -atboottime" [X]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2006-02-28 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2006-02-28 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-02-28 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-02-28 455168]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-09 40960]
"SetDefPrt"="c:\programme\Brother\Brmfl04g\BrStDvPt.exe" [2004-11-11 49152]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2005-01-07 864256]
"nwiz"="nwiz.exe" [N/A]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-01-11 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408]
"avgnt"="d:\tools\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"iTunesHelper"="d:\tools\iTunes\iTunesHelper.exe" [N/A]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="d:\tools\Acrobat Reader\Reader\Reader_sl.exe" [N/A]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"Malwarebytes Anti-Malware (reboot)"="d:\tools\Malwarebytes' Anti-Malware\mbam.exe" [N/A]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Tror\Startmen�\Programme\Autostart\
OpenOffice.org 3.0.lnk - d:\tools\Open Office 3\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
AutoStart IR.lnk - d:\tools\WinTV\Ir.exe [2010-3-16 106551]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opaqcx]
2010-05-13 23:10 22016 ----a-w- c:\windows\system32\opaqcx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Tools\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Games\\Steam\\SteamApps\\trorcrashinghands\\team fortress 2\\hl2.exe"=
"d:\\Games\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"d:\\Tools\\ICQ6.5\\ICQ.exe"=
"d:\\Games\\TrackmaniaNationsForever\\TmForever.exe"=
"d:\\Games\\Test Drive Unlimited\\Extras\\Acrobat Reader GR.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\tools\Avira\AntiVir Desktop\sched.exe [23.09.2009 01:42 135336]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [21.03.2010 22:27 717296]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://ad.reduxmedia.com/click2,RAQAAMLNDAAWmEYAAAAAANTgEgAAAAAAAgAAAAYAAAAAAP8AAAADAREGGgAAAAAAUIoDAAAAAAAp1BkAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADqmgY AAAAAAAIAAwAAAAAAWrAlGCgBAAAAAQAAADUzYmEyMjdlLTRjMDEtMTFkZi1hODE2LTAwMjQ4MWI0NDkyYgB8lioAAAA=odZHAA==,,http%3A%2F%2Fad.reduxmedia.com%2F,
uInternet Settings,ProxyOverride = *.local
TCP: {989C251A-F6F6-49D2-9B3F-61335B393702} = 141.44.1.9,141.44.1.1
FF - ProfilePath - c:\dokumente und einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\lwsr0sx8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - component: d:\tools\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: d:\tools\Acrobat Reader\Reader\browser\nppdf32.dll
FF - plugin: d:\tools\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\tools\DivX\DivX Web Player\npdivx32.dll
FF - plugin: d:\tools\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: d:\tools\Java\bin\new_plugin\npdeployJava1.dll
FF - plugin: d:\tools\Java\bin\new_plugin\npjp2.dll
FF - plugin: d:\tools\VLC\npvlc.dll

---- FIREFOX Richtlinien ----
d:\tools\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\tools\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\tools\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\tools\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\tools\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\tools\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\tools\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
d:\tools\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\tools\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\tools\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Steam App 440 - d:\games\Steam\steam.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-17 13:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(900)
c:\windows\system32\opaqcx.dll
c:\programme\Bonjour\mdnsNSP.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
d:\tools\Avira\AntiVir Desktop\avguard.exe
d:\tools\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
d:\tools\Java\bin\jqs.exe
c:\windows\system32\RUNDLL32.EXE
d:\tools\Open Office 3\OpenOffice.org 3\program\soffice.exe
d:\tools\Open Office 3\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-05-17 13:12:46 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-05-17 11:12

Vor Suchlauf: 8 Verzeichnis(se), 71.781.793.792 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 71.751.135.232 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 50F5F3E273A59D525D8824FB172A13FB
#

windows update funktioniert auch wieder...soll ich die updates gleich installieren, oder erst noch warten?

Hallo, sieht schonmal fürn Anfang nit schlecht aus.

Poste nochmal mit OTL von Oldtimer ein komplett neues Log, aber bitte OHNE den Custom Scan. (also diesmal nixx in der Custom-Scan Box in OTL unten eintragen, sondern normal laufen lassen.)

kann ich dann auch die windows-updates wieder rein schieben, weil das seit langem auch mal wieder geht^^ OTL-log kommt gleich

so hier nun die OTL.txt:

# #

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

CF nimmt die cfscript.txt nicht an und meint es würde ein Buchstabierungsfehler vorliegen

1. Bist du sicher, dass du nicht CFscript.txt.txt genommen hast?
2. Lösche Combofix von deinem PC und lade dir eine komplett neue Version herunter.

ja bin ich...habs jetzt mehrmals probiert und es kam immer nur dieselbe Meldung wieder...

so habs doch noch hinbekommen^^
lag daran, dass ich meinem Hauptbenutzerkonto während dieses Reparaturmarathons die Adminrechte entzogen hab und ein extra Adminbenutzerkonto angelegt hab (ich weiß ich hätte von vornherein nicht grad mit adminrechten im Netz unterwegs sein sollen :( )
Er hat also bei dem Versuch das script zu verwenden immer gefragt ob ich das über den Adminbenutzer laufen lassen will was ich bejaht hab, aber irgendwie scheint das so nicht zu klappen also hab ich das mit dem script jetzt mal direkt über den Adminbenutzer gemacht und es hat funktioniert, also hier das CF-log:

#
#

Sieht schonmal freundlicher aus.

Benutze Malwarebytes nach der Anleitung. Wenn Malwarebytes durch ist und das Log erscheint gehe auf "Auswahl entfernen" und poste bei Scan-Berichte das Log in deinen Thread.

ok, werd mich gleich dran machen.
Eins hab ich vorher noch...wie erwähnt hatte ich ja, wohl durch das rootkit bedingt, dauernde Antivir-meldungen in meinen normalen Progamm-exe-files...das waren immer TR/Agent.36864.lj-Meldungen...jetzt kommen ab und zu genau solche Meldungen für Dateien im restore-Ordner in C:\System Volume Information.
Ich hoffe mal da bahnt sich nicht schon wieder was an...in ein paar minuten kommt der MB-scan-bericht.

das ist da soweit ungefährlich.

also muss ich mir darum nicht wirklich sorgen machen?
Die meldung taucht nämlich an so einigen Orten auf wie
C:\WINDOWS\ime\imjp8_1\imjpmig.exe.tmp
oder im Qoobox-ordner der wohl von der Bereinigung von CF stammt oder?


Hier jetzt der MB-log:

Öffne dein Antiviren Scanner und mache hiermit einen Durchlauf.

Den Scanbericht dessen bitte hier posten.

hier der Bericht:
ich mach grad nochmal nen neuen Scan mit antivir, weil ich grad noch auf aggressive Einstellung umgestellt habe.
Wenn du das Log nich brauchst sag bescheid

Wenn der zuende ist,
bitte nochmal HJ Log posten.

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code:

  ---

  :file
imjpmig.exe.tmp

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

@FCKOELN
Vorab: Halte dich bitte raus, Danke!
Tror bitte auf mich achten, nicht auf FCKoeln

ok mach ich.
den neuen Antivirscan möchteste dann auch nochmal sehen oder?

Ich ja.
Angel24 bestimmt auch:daumenhoc.

FCKoeln halte dich raus, TROR achte bitte auf mich! Nicht auf ihn.
Mache nur die Schritte, die ich Dir sage, nicht was Reinplatzer sagen.

Jeder darf hier schreiben.

ok hier dann erstmal der System-Look-bericht:
Antivir auf aggressiv läuft noch...soll das jetzt weiterlaufen oder kann ichs abbrechen und du brauchst den Bericht nicht Angel?

Um es nochmal freundlich auszudrücken, Bitte lass es sein. Ansonsten muss ich Mittel ergreifen, dass du es sein lässt, wenn du bereinigen willst such dir nen Forum.

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code:

  ---

  :filefind
imjpmig.exe.tmp

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

hier dann der nochmalige Systemlook-bericht:

Ich hoffe das der scan heute noch fertig wird, so dass du ihn dir noch angucken kannst^^ immerhin ist erschonmal bei 70%
die gefundenen Bedrohungen in Spieleordnern auf meiner zweiten Platte kannste glaub ich aber so ziemlich alle ausser acht lassen, da das Trainer sind, die von vertrauenswürdigen Seiten stammen, zumindest hatte ich mit denen die letzten fast 10 Jahre noch nie Probleme...aber wer weiß...wollt ich nur vorweg schonmal sagen, da Eset ja auch meine andere Festplatte mitscannt auf der fast alles bis auf das Betriebssystem und ein paar Kleinigkeiten drauf is

Vertrauenswürdige Trojaner? Diese zwei Begriffe sind mir in diesem Zusammenhang unbekannt ;)

ja irgendwie schon^^ aber ach keine Ahnung, wenn sie besser weg sollen kommen sie halt weg, aber nen Trainer der nich hinterrücks ins System eingreift besteht ja nu auch noch nich oder gibts da neue Erkenntnisse? ;)
so 99% sinds mitlerweile nach 2 Stunden...ich hoffe also dir gleich nen log anbieten zu können.

Okay. Poste das Ergebnis hier. Also bei Trojanern wäre ich immer sehr vorsichtig.

sollte man dann doch sein, ist richtig.

Also soweit ich das sehe ist der Combofixquarantäne-ordner immer noch da/voll, da das jetzt das dritte mal ist, das etwas daraus identifiziert wurde.
Jetzt bei dem scan mit Eset hat Eset auch wieder nen Quarantäneordner mit infizierten Dateien angelegt. Kriegen wir die ganzen verschiedenen Quarantäneordner der Programme nachher auch noch weg ohne was zu vergessen?
hier jetzt das log nach siebenstündigem Scan -.- leider wirste dir das wohl vor morgen nicht mehr angucken...

ich deinstallier Eset dann jetzt nach deiner Anweisung wieder

Edit: ich hab im Admin-benutzerkonto auch gleich noch den Qoobox-ordner gelöscht, nachdem ich mir so einige Benutzerhinweise zu Combofix durchgelesen hab.
Ich hoffe da hab ich jetzt nix falsches gemacht

Du sollst nichts tun, wenn ich dich dazu nicht auffordere.

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

hier der log:

Alle Funde bitte beseitigen.

hab ich gemacht, aber der Ordner D:\System Volume Information\ lässt sich nicht öffnen also konnte ich den Fund und die suspekten Dateien dort nicht löschen
Die Dateien dort tauchen auch immer wieder mal bei Antivir auf, und das trotz löschen/in Quarantäne verschieben immer wieder

Den Ordner leeren wir auch nach der ganzen Prozedur.....Bitte nichts weiter anfassen.

Wie geht es deinem PC so um mal zwischenzeitlich zu fragen?
Noch größere Probleme?

so wirklich große Sachen, dass er unnutzbar war gabs ja zum Glück nicht, nur sehr sehr penetrante und nervige und natürlich gefährliche Sachen...
Aber jetzt geht wie gesagt seit geraumer Zeit windows update wieder problemlos, es öffnen sich soweit ich gemerkt habe keine Browserfenster mehr random.
Genauso keine hintergrundprogramme, soweit ich aufmerksam genug war, mehr.
Das einzige was noch über ist aber nicht mehr so stark ist Antivir mit so einigen Dauermeldungen.

Also ich würd sagen meinem Rechner gehts bedeutend besser als vorher :) also schonmal herzlichen Dank bis hierhin.
Muss auch mal gesagt werden

Okay, starte wie nach Anleitung Superantispyware und poste das Log wie in der Anleitung beschrieben.

Mal sehn, ob der noch etwas findet :)

so hier der log. anders als in der Anleitung aufgeführt sollte ich nach scan-beendigung erst neustarten was ich auch gemacht hab.
Ich hoffe das war in Ordnung so.

Hallo. Na da hat Superantispyware doch noch etwas gefunden.

Okay, da ich noch keine Entwarnung geben möchte, setzen wir unsere Reise fort ;)

http://www.trojaner-board.de/59299-a...eb-cureit.html

Nach anleitung ausführen. Log hier her. :)

ok, vorweg noch 2 Fragen:
Kann ich Superantimalware jetzt erstmal abschalten, weil es ja jetzt auch dauernd in der Taskleiste aktiv ist?
Den Quarantäne-ordner des Programms werden wir dann wie in der ANleitung angemerkt später noch bereinigen, seh ich das richtig?
Und nun freu ich mich wieder auf einen mehrstündigen scan -.- ;)

Sasw bitte dabei abschalten ja.

Nach dem ich genau noch weiß, dass du nichts mehr drauf hast dann machen wir den rest schon.

Viel Fun beim Scan ;)

alles klar.
dann kann ich ja jetzt nicht mal Fernseh gucken die Zeit über, da ich das auch über den PC mach...was soll ich dann bloß die ganze Zeit jetzt tun XD

Musst den ja net sofort machen, kannst dir auch zeit lassen bis moin ;)

aber nich wenn der wieder 7 Stunden und mehr dauert^^
hab jetzt auf jeden Fall angefangen und hoffe, dass er morgen früh fertig ist.
Also erstmal gute Nacht^^

nachti lach :)

so hier nun das log. komisch find ich das es so wenig ist und das der scan quasi auf einmal fertig war obwohl die leiste das letzte mal das ich drauf geschaut hab nicht sehr weit war und ich dachte er brauch eigentlich noch ein paar stündchen...ich hoffe da lief alles wie vorgesehen.

Edit: Ich hab den Verdacht, dass der scan nicht wie gewollt zu ende gebracht wurde, da nach einem neustart erstmal CHKDSK auf D:\ durchgelaufen ist und so einige Sachen berichtigt/gelöscht/wiederhergestellt hat und nun dort auch ein unsichtbarer Ordner found.000 entstanden ist...

Teste mal die Festplatte auf echte Macken
=> Lade dir ein ISO-File einer Boot-CD mit Festplattentestprogramm vom jeweiligen Festplattenhersteller herunter (IIRC funktioniert das Hitachis-Tool zur Not universell), mache die Boot-CD und teste damit die Festplatte intensiv auf Fehler.
Achte auf "non-destructiv"-Tests (oder ähnlich), sonst sind u.U. alle Daten weg.
Eine S.M.A.R.T.-Analyse könnte auch was hergeben (aber nur wenn es Fehler meldet)

ich hätte es gern ein bisschen detailierter, da ich da auf keinen Fall etwas falsch machen will.
Zudem meinte Angel vor ner Weile ich sollte mich ohne andere Absprache nur an ihn halten, weil er das Problem ja auch von vorn bis hinten mit mir angegangen ist.
Nichts gegen deine Kompetenz Shadow, aber solang ich von Angel keine Order oder Nachricht zu deinem Vorschlag höre werde ich erstmal abwarten, da ich nach über einer Woche Schädlingsmarathon nicht am Ende das Ziel verpassen möchte ;)

Tror ich habe Shadow gebeten mal nachzuschauen und von seiner Seite aus Vorschläge zur Fehlerbeistigung zu machen. :)

ok, dann werd ich schauen ob ich das irgendwie hinbekomme.
Mir stellt sich dann aber die Frage ob das nicht vielleicht mit dem Programm selbst zu tun haben könnte, da ich bisher noch nie Probleme mit der großen Festplatte hatte und nach dieser einen Runde chkdsk ist auch weiter nichts passiert...kann das denn da nicht mit dem Programm zusammenhängen oder muss das zwangsweise an der Festplatte liegen?

Wenn das zwangsweise an der Platte liegt muss ich mir eh erstmal was überlegen wie ich meine ganzen wichtigen Daten sichere, da das doch recht viele sind

so, ich hab ein Problem.
ich hab mir jetzt ein diagnoseprogramm des Festplattenherstellers besorgt, aber die erklärungen dazu sind recht dürftig und es wird auch eindrücklichst darauf hingewiesen die Daten vorher auf jeden Fall zu sichern...nur sind das in meinem Fall so viel, dass ich mir dafür erst ne externe Platte zusätzlich besorgen müsste oder x DVDs brennen müsste um alles wichtige zu sichern, was mir doch ein wenig viel kostenaufwand wäre...
gibts denn keine andere Möglichkeit mit der Bereinigung weiter zu machen und den Festplattentest wegzulassen?

Wie verhält sich denn die Festplatte sonst so? War das das erste mal, dass dieser fehler auftrat vor unserer Arbeit und während unserer Arbeit?

jap war bisher das erste mal, auch generell.
CHKDSK ist bei mir noch nie angelaufen bis auf das eine mal vor knapp nem Tag.
Hatte sonst nie Festplattenprobleme.

Sorry, war gestern unterwegs und konnte nicht lesen/antworten etc. (bzw. abends die Schnauze voll mit Computer und Großstadt :eek: )
Welches Tool willst du denn einsetzen?
Prinzipiell gilt: Vor allem und nach allem was du getan hast: Datensichern.
Insofern ist jetzt Datensicherung nicht dringlicher oder weniger dringlich. Allerdings kann ein Festplattentest falsch ausgeführt Ärger (Datenverlust) produzieren und ein Festplattentest auf einer defekten Festplatte kann (ebenso wie ein 100%-Komplettscann auf Viren übrigens!) die Hardwareproblem verstärken.

Zu deinem CHKDSK-"Problem":
Es wäre möglich, dass die Festplatte eine Macke hat (die kommt irgendwann und irgendwo), wird nicht auf die Daten zugegriffen, bei denen die HDD Lese- bzw. Schreibprobleme hat, wird es u.U. gar nicht bemerkt. Werden die Daten aber versucht zu lesen (=> AV-Scan z.B.), können eben diese Fehler zutage treten.

Dies kann, muss aber nicht sein.

Deine Bedenken sind gut und richtig (was die "Einmischung" betrifft, wie auch wegen Datensicherung). Nur der Gedanke bzgl. Datensicherung hätte schon früher kommen müssen (da bist du aber absolut nicht alleine).
Und bedenke: Auch eine externe Festplatte kann jederzeit kaputt gehen.

Habe gerade den Fall, da hat ein Kunde seine Daten auf externe Festplatte weggesichert (also auf dem PC gelöscht bzw. von intern auf extern verschoben). Tja, externe Festplatte können halt auch zusätzlich noch runterfallen. *autsch* ... oder wie vernichtet man 500 GB auf einen Schlag
- für Datenrettung bei Headcrash waren die Daten dann doch nicht wichtig genug bzw. der Geldbeutel zu klein)

Datensicherung ist heute sehr wichtig.
Ich hab ne externe Festplatte, habe dort ein Image drauf und aufen PC eine Backup Partition. Und auf nem USB Stick die wichtigsten Dinge gespeichert.

3 mal hält besser :)

(und wenn die HDD abkratzt oder mich mal heftige Malware überfällt bin ich bestens gerüstet.)

Das versteh ich alles und nehme ich fast genauso ernst wie ihr.
Ich hab auch ein paar wichtige programme extern auf sticks gespeichert, nur meine sonstigen wichtigen Daten halt nicht, da das als ich die anderen gesichert hab noch nicht zählbar viele waren.
Und eigentlich benutz ich ja auch meine zweite Festplatte, also die wo D:\ drauf ist quasi als sicherung, damit ich beim neuaufsetzen meiner Systemfestplatte nichts an wichtigen Daten verlier was bisher auch gut geklappt hat.
Mir ist auch bewusst, dass so ne Festplatte nicht unendlich haltbar ist, aber meine hat bisher halt wirklich nie den Ansatz eines Problems gemacht und auch nach dem CHKDSK-lauf kam bis jetzt auch rein gar nichts.

Woanders sichern kann ich leider derzeit nicht, da ich dafür extra kostenaufwand betreiben müsste da es sich über 60 GB (für mich) wichtige Daten handelt und ich so mindestens ne externe Platte holen müsste
und das würde ich zumindest im Moment grad vermeiden wenn es denn möglich ist.

Das Festplattentestprogramm ist von Samsung aber entweder bin ich blind oder zu doof, ne ordentliche Anleitung hab ich dabei leider nicht gefunden, deshalb ist mir das grad etwas ungeheuer.

Externe Festplatten kosten nicht viel, die 1 terrabyteplatten kosten bei guten Läden schon unter 100 €.

ich weiß es ist ein Klischee, aber ich sag da nur armer Student :(
ich bin froh, wenn ich mir ne Heimfahrt zur Familie einmal im Monat leisten kann -.-
Sonst hätt ich mir bestimmt schonmal was zum absichern besorgt, da ich das an sich spätestens jetzt wohl gut gebrauchen kann.

gibts dann jetzt ausser der Festplattenprüfung keinen weg weiter mit der Reinigung zu machen? ansonsten muss ich halt erstmal sehen wie ich die Sachen gesichert bekomme und wie ich die ÜBerprüfung der Festplatte bestmöglichst hinbekomme

Und in schlechten Läden sind sie noch billiger (Lockvogelangebote) :lach:
(manchmal aber auch nur billiger und nicht günstiger)
Weniger Saugen! :rolleyes:
Natürlich. Mach einfach die Reinigung und so oft Neustart wie das Ding abbricht.
Nur was hast du davon?
=> Liegt ein echter Festplattenfehler vor, der sich eventuell sogar verstärkt, dann kannst du dies u.U. bis Ultimo, genauer gesagt bis zum totalen Crash machen.
Du magst auch chkdsk /f /r einmal so durchlaufen lassen, aber auch hier wäre vorher eine Datensicherung angesagt und und ein Fehler kann (muss nicht) dadurch verstärkt werden.
Das Risiko musst du abwägen.
Wenn Windows einen Festplattenzugriff abbricht und dich zu einem Neustart mit chkdsk zwingt, dann ist meisten Gefahr im Verzug.
Wichtige Daten sichern, irgendwelche Filmchen die du doch sowieso nie wieder ansehen wirst oder nur vielleicht einfach riskieren. Ein solcher Festplattentest (eben und nur der nicht-destruktive) hat nur ein Ausfallrisiko und kein "garantiertes Datenlöschen) und im Allgemeinen auch nur bei schweren Festplattenfehlern, dann ist es aber auch bei normalen Gebrauch ein Datenverlust + ein Restrisiko weil du jeden Sektor liest und wieder beschreibst.

hehe Shadow so ist das nunmal ;)

@Tror sicher einfach deine Daten ab, kauf dir dazu ne externe Festplatte (lass sie aber nicht fallen ;)) und sichere deine Daten drauf, wer seine Daten als sehr wichtig empfindet wird sich auch das Geld hierfür leisten (könne, wollen) ohne "wenn" und "aber" :)

ja ist richtig, hab mich bisher halt anscheinend nur trügerisch sicher gefühlt so wies war mit meiner "Sicherung".
@Shadow: Saugen ist im Uni-netzwerk nicht drin, da da alles derartige geblockt ist und ich vorher auch nicht gesaugt hab. Ausleihen ist das zauberwort und das über Jahre^^
Der Neustart mit CHKDSK war nicht erzwungen es lief einfach durch nachdem ich nach dem (anscheinend nicht ganz korrekten) Scan mit Dr.Web im abgesicherten Modus normal neugestartet hab

auf jeden Fall muss dann die weitere Bereinigung bis nächsten Monat warten, damit ich mir was zum Daten sichern beschaffen kann.
die ganzen Quarantäne-ordner der verschiedenen Programme bleiben bis dahin alle so wie sie sind denk ich oder?

Bei dem Festplattentest hoff ich, dass ich den dann ohne Probleme hinbekomme, am liebsten wär mir ne ausführliche Erklärung, da Samsung (mein Festplattenhersteller) zumindest soweit ich nicht vollkommen blind bin, dazu leider nur ein dürftiges Tutorial anbietet und bei seinem Testprogramm ausdrücklich vor Datenverlust warnt...
Ich bedanke mich dann auf jeden Fall erstmal bei euch beiden für eure Hilfe, aber das Weiterkommen wird dann wohl erst in knapp 2 Wochen weitergehen